$ curl https://a0.awsstatic.com --header "Host: d2cly7j4zqgua7.cloudfront.net"
I’m just a happy little web server.
$ curl https://ajax.aspnetcdn.com --header "Host: meek.azureedge.net"
I’m just a happy little web server.
$ curl https://maps.google.com/resolve?name=hup.hu --header "Host: dns.google.com"
{"Status": 0,"TC": false,"RD": true,"RA": true,"AD": false,"CD": false,"Question":[ {"name": "hup.hu.","type": 1}],"Answer":[ {"name": "hup.hu.","type": 1,"TTL": 1625,"data": "185.43.206.113"}]}
Hogy ez miért jó? A SSL kapcsolat létrehozásakor a domain név (SNI) cleartext-ben kerül elküldésre, így egy DPI-re képes tűzfal képes blokkolni ezeket a kéréseket. Ezzel a módszerrel viszont az SSL kapcsolat más domain névvel kerül létrehozásra (maps.google.com), mint a valós lekérdezés (dns.google.com), így kijátszva a blokkolást.
Ilyen módon elvileg nincs lehetőség egyértelműen megállapítani, hogy milyen szolgáltatást használ az user, így csak a teljes ip tiltás a megoldás. Elvileg, mert: a kínai nagy tűzfal már a csomagok méretét és időbeli eloszlását vizsgálva is tud tiltani szolgáltatásokat, de az oroszok viszonylag új játékosok és még nincs ilyen szinten az állami cenzúragép.