드디어 그새끼가 HTTPS 차단한다고 발표함. 차단 신기술 개발이라는데 개소리고 어떤 업체가 뒷돈 챙겨주고 솔루션 개발했겠지.

몇 년 안에 막힐 기술을 갖다 쳐 개발하고 앉아있으니 막히면 또 다른 업체가 몇년 있다가 새로운 차단 기술 개발해서 납품할건 뻔한거고

결국은 우리 세금만 신나게 낭비되고 있는 셈이야

여튼 오늘은 HTTP는 이제까지 어떻게 차단했는지, HTTPS는 어떻게 차단할 것인지에 대해 알아보자

우선 우리는 HTTP로 웹사이트를 접속하는 과정에 대해 간단히 알아야 해

1. DNS 서버에 웹사이트 주소를 갖다 물어보고 IP 주소를 받는다

2. IP주소에 HTTP GET 요청을 보낸다

3. 결과를 받고 보여준다 이 세 과정으로 요약할 수 있음

여기서 ISP(KT나 SK) 감청 서버는 이 HTTP GET 패킷을 가로채서 Host 내용을 블랙리스트와 대조한 후 만약 블랙리스트에 걸리면

지가 그 IP주소 행세를 하고 워닝으로 납치해버림. 이게 HTTP 차단의 방법론이야

그러면 똑똑한 새끼들은 궁금하겠지. IP 주소로 찾아가면 그 사이트가 나오는데 왜 씨발 Host 보내서 야동 못보게 하느냐?

정답은 IP 주소가 비싸니까 1개에서 여러 사이트를 호스팅하기 위함임. a.com과 b.com이 같은 IP 주소여도 Host 정보에 따라 다른 서버에 접속할 수 있게 하는거지

이 좆같은 가격절감은 HTTPS에서도 우리를 골치아프게 하고 있음 이건 나중에 설명하고

그러면 왜 HTTPS에서는 못 막았냐?

그걸 알기 위해 우리는 HTTPS에서 어떻게 접속하는지를 알아야 함.

1. DNS 쿼리

2. Client Hello - Server Hello - 인증서 전달 - 등등등 해서 Handshake 까지의 과정을 통해 서버의 인증서를 가져와서 서버 주소와 일치하는지 확인하고 (주목)

3. 암호화된 패킷을 전송함

그러니까 감청 서버는

요따구로 암호화한 패킷밖에 보여지지 않으니 막을수가 없었던 것이야

자, 이제 이걸 어떻게 막을까?

ISP와 정부 입장에선 두 가지로 막을 수 있어.

우선 SNI를 통해 막는 방식이야.

SNI는 한 IP의 서버에서 여러 SSL 인증서를 보낼 수 있도록 하는 기능임

1.1.1.1에서 aaa.com과 bbb.com 두 서버를 운영한다고 할 때 보안때문에 HTTP의 Host 없이 암호 전달 과정을 거치는데 그러면 서버에서 aaa.com 인증서를 보내야 할지 bbb.com 인증서를 보내야 할지 모르잖아? 

이 때 SNI를 통해  요청에 따라 알맞은 인증서를 보내줄 수 있는거야. 

위에서 본것 같지? 맞아 이 비슷한 걸 통해 HTTP도 차단한 바가 있어 정말 좆같은 기능이지

클라이언트가 이렇게 Client Hello 패킷을 보낼 때 저렇게 SNI를 노출시켜 버리니까 ISP(정부)에서는 저 Client Hello 패킷을 모두 감청 서버를 거치게 해서 블랙리스트에 있다면 Nego 실패 패킷을 보내고 리다이렉트를 시킬 것으로 추정하고 있어

하지만 SNI를 암호화하는 표준(https://tools.ietf.org/html/draft-ietf-tls-sni-encryption-02)도 개발되고 있어서 이 방식은 몇 년 내로 막힐 것으로 보여(정부 입장에서)

이게 막힌다면 또 ISP(정부)가 쓸 수 있는 방법이 있어. 아까 서버의 인증서를 가져와서 서버 주소와 일치하는지 확인한다고 했지? 그러면 그 인증서를 가져와서 읽으면 돼.

브라우져가 인증서의 주소를 확인해서 서버의 신원을 확인하니까 마찬가지로 감청 서버에서도 저 인증서 전송 패킷만 가로채서 브라우져가 하듯 서버의 주소를 보고 블랙리스트에 걸리면 바로 Negotiation 실패 패킷을 딱 보내고 Redirect 하면 되는거지.

이렇게 정부가 어떻게 http를 차단했는지, https를 차단할 것인지에 대해 알아봤어. 시간의 문제일 뿐 결국 https도 차단될거고 우리가 할 수 있는 방법은 없어.

답은 뭐다?

답은 VPN이야. 실제로 보면 패킷이 저따구로 나와서 감시할래야 감시할 수가 없다.