유머천국 코하비닷컴
https://cohabe.com/sisa/919955

HTTPS는 기술적으로 차단이 불가능해요

그렇게 될 예정이에요

 

지금은 하루살이 기술로 차단을 진행한건데, SNI필드가 평문으로 전송되는 취약점을 악용해 DNS 쿼리 응답을 변조하는게 이번 차단 조치의 매커니즘이에요

 

TLS 버전이 업데이트되기를 기다려도 되지만, 당장은 DNS over HTTPS 기능을 활성화해서 저 차단 조치를 우회할 수 있어요

 

 

 

 

 

 

 

| 준비물 |

 

 

DNS over HTTPS(DoH) 기능을 지원하는 브라우저

DoH를 지원하는 DNS 서버

(옵션) DNSCrypt 2.0+ 클라이언트

 

| 설명서 |

> DNS 설정

사용하는 기기의 네트워크 설정 패널에서, DNS 서버 주소를 변경한다

 

DNS Primary = 1.1.1.1 or 1.0.0.1

(Cloudflare DNS)

DNS Secondary = 8.8.8.8 or 8.8.4.4

(Google DNS)

 

> mozilla Firefox 60+, Firefor for Android 60+

1. 주소창에 about:config 를 입력한다

 

2. 검색 창에 network.trr 를 입력한다

 

3. 아래의 값들을 다음과 같이 변경한다

| variables | values |

network.trr.mode = 2

 

network.trr.uri = https://cloudflare-dns.com/dns-query

 

netwotk.trr.bootstrapAddress = 1.1.1.1

 

> DNSCrypt Client 2.0.0+

https://developers.cloudflare.com/1.1.1.1/dns-over-https/cloudflared-proxy/

여기를 참조

 

> Google Chrome, MS Edge et cetera...

DNSCrypt를 이용하거나 브라우저가 DoH 기능을 지원할 때까지 존버한다

 

| 기술적 설명 |

웹 브라우저가 웹 사이트에 접속하기 위해서는 IP 주소가 필요한데, IP 주소가 사용하기 어려움에 따라 도메인 네임을 지정해 IP를 가르키는 도메인 네임과 IP를 연결해주는 서비스가 등장해 현재까지 사용되고 있다

 

웹 페이지에 접속할 때 서버의 IP주소를 알기 위해 DNS 쿼리문을 송신하는데, 본래라면 제대로 된 DNS 서버가 hosts 파일을 참조해 제대로 된 응답을 반송해줘야 할 터이나 이번 사태에서는 통신사의 도메인 네임 서버가 DNS 패킷의 내용을 확인하고 Server Name Indication 필드에 있는 도메인 네임이 블랙리스트에 올라 있는 경우 검열 안내 페이지의 IP 주소를 반환하고 있는 것

 

SNI 평문 전송은 이미 보안 문제가 제기되어 있어 다음에 도입될 TLS 표준에서는 SNI 필드를 암호화하기로 예정되어 있으나 아직 도입되지는 않은 상태이다

 

DoH 기능을 사용하면 클라이언트와 DNS 서버 간 모든 연결이 암호화된 채로 이루어져 DNS 요청문 역시 중간에서 감청이 불가능하다

댓글
  • topless 2019/02/11 16:43

    도망갈 길이 있다 없다를 떠나 방통위 같은 기관이 움직이며 차단하고 있다는게 골자 아니냐

  • 부공실사 2019/02/11 16:42

    근데 차단을 했다는거 자체가 인권유린 아니냐
    이거 국민들 인터넷 접속을 실시간 검열하는 건데

  • USSR만세 2019/02/11 16:43

    우회 방법이고 나발이고 정부 주도로 그 ㅈㄹ을 한다는게 문제라는건데
    그저 응~ 우회하면 그만이야~ 이러고 있으니

  • 아젤키버_ 2019/02/11 16:40

    요약하면 저 차단하는 기술자체가 취약점 이용한거라 시한부고
    이미우회법있다구

  • 골든링고 2019/02/11 16:44

    등신인 건 개돼지 같은 너인것 같은데?

  • 공유기의비극 2019/02/11 16:38

    일단 추천을 박아보자

    (CN17fG)

  • 루리웹-1540816976 2019/02/11 16:38

    컴공 일한다!

    (CN17fG)

  • dailyse.xlife 2019/02/11 16:38

    참고자료 와드

    (CN17fG)

  • 꼬꼬마뉴비♡ 2019/02/11 16:38

    Doh

    (CN17fG)

  • 수인 2019/02/11 16:43

    여기서 심슨이

    (CN17fG)

  • 수인 2019/02/11 16:38

    파폭 떡상 가나요

    (CN17fG)

  • 가나쵸코 2019/02/11 16:38

    역시 이과야!

    (CN17fG)

  • 一目瞭然 2019/02/11 16:38

    뒷길을 설명해줘도 선동 하는 ㅄ들과 선동 당한 등신들은 계속 징징거릴 거임.
    그런 애들이니까.

    (CN17fG)

  • 진리는 라면 2019/02/11 16:42

    ?

    (CN17fG)

  • 진리는 라면 2019/02/11 16:43

    걔네들이랑 이거랑 뭔 상관인지 모르겠지만..

    (CN17fG)

  • topless 2019/02/11 16:43

    도망갈 길이 있다 없다를 떠나 방통위 같은 기관이 움직이며 차단하고 있다는게 골자 아니냐

    (CN17fG)

  • 죄수번호-9591717223 2019/02/11 16:44

    ㅉㅉ

    (CN17fG)

  • 골든링고 2019/02/11 16:44

    등신인 건 개돼지 같은 너인것 같은데?

    (CN17fG)

  • 루리웹-1690801217 2019/02/11 16:45

    네가 하고 있는게 선동이야

    (CN17fG)

  • 루리웹-342997651 2019/02/11 16:45

    검열을 피할 방법을 알려줄테니 검열하던 말던 닥치라는 논리에 무릎을 치고 갑니다

    (CN17fG)

  • 할이보 2019/02/11 16:46

    ㅉㅉ

    (CN17fG)

  • 한랭건조 2019/02/11 16:56

    머리는 장식인가?
    무조건 그네 히메 찬양하는 틀딱이랑 다를게 뭐냐.

    (CN17fG)

  • 메이즈 폭렬시공 2019/02/11 16:38

    에... 난닷테...?

    (CN17fG)

  • 아젤키버_ 2019/02/11 16:40

    요약하면 저 차단하는 기술자체가 취약점 이용한거라 시한부고
    이미우회법있다구

    (CN17fG)

  • 아이마스 2019/02/11 16:39

    고오급 정보는 언제나 환영이야

    (CN17fG)

  • 아이마스 2019/02/11 16:41

    파폭 퀀텀 되면서 크롬마냥 메모리 하마된건 너무 아쉬움. 탭 100개 넘게 띄워도 메모리 넉넉한게 파폭 장점이었는데 ㅠ

    (CN17fG)

  • 가난한 여고생 2019/02/11 16:41

    역시 공대생

    (CN17fG)

  • 루리웹-3299678541 2019/02/11 16:41

    봐도 모르겠다

    (CN17fG)

  • 플무아치 2019/02/11 16:42

    와드

    (CN17fG)

  • 부공실사 2019/02/11 16:42

    근데 차단을 했다는거 자체가 인권유린 아니냐
    이거 국민들 인터넷 접속을 실시간 검열하는 건데

    (CN17fG)

  • 호불호 2019/02/11 16:43

    님 통신사도 알고 있는데 어캄

    (CN17fG)

  • gunpowder06 2019/02/11 16:45

    언제는 ㅇ동이 제대로 된 적 있음?
    됐어도 맨날 워닝 뜨던 게 어쩌다 풀린 거지.

    (CN17fG)

  • 부공실사 2019/02/11 16:47

    워닝으로 막는거야 그렇다쳐도 이건 사실상 민간인 감청인데

    (CN17fG)

  • gunpowder06 2019/02/11 16:49

    애초부터 '대한민국 성인물 합법화'를 논하면 몰라도
    원래 불법이던 ㅇ동 안된다고 일베에 박사모까지 미쳐 날뛰는 건 정상이 아니지.

    (CN17fG)

  • 부공실사 2019/02/11 16:51

    건드려서 벌집 건드린 꼴 될게 뻔하고 실효도 없는데 굳이 저런다는거 자체가
    지금은 ㅇ동이지만 다음 정권, 수꼴정권 들어섰을 때 이거 근거로 다른 검열 도입하면 그땐 또 어쩔 건지

    (CN17fG)

  • 루리웹-2058900562 2019/02/11 16:51

    응개솔충

    (CN17fG)

  • Sanith 2019/02/11 16:55

    자한당 테러방지법 입법하는거 개인사찰이라고 필리버스터하면서 막더니
    지들이 정권잡더니 개인사찰 입법조차 안하고 시행해버림
    개인사찰 입법없이 해도 문제없다는 선례를 만들어줌 ㅋㅋㅋㅋㅋㅋ
    만약에 자한당애들 정권잡으면 아주 재밌는 일이 벌어질듯ㅋㅋ

    (CN17fG)

  • Digital Forensic 2019/02/11 16:56

    애초에 개인 사찰도 아님

    (CN17fG)

  • 호불호 2019/02/11 16:43

    스크랩해놔야지

    (CN17fG)

  • uTorrent 2019/02/11 16:43

    불여우가 떡상할줄이야

    (CN17fG)

  • 튀겨짐잼 2019/02/11 16:43

    띠용

    (CN17fG)

  • 일편단심세이버쨩 2019/02/11 16:43

    사이트 쪽에서 적용이 안되었을 때

    (CN17fG)

  • 일편단심세이버쨩 2019/02/11 16:43

    사이트에서 적용이 되었을 때 (추정)

    (CN17fG)

  • MOA0370 2019/02/11 16:43

    ㅇㄷ

    (CN17fG)

  • [?]R-iddle-R[?] 2019/02/11 16:43

    지금 할거라는 dns차단 방식 자체가
    패킷 감청 할거라는 말임.
    그러니까 해킹이지

    (CN17fG)

  • Digital Forensic 2019/02/11 16:57

    그건 주작

    (CN17fG)

  • Digital Forensic 2019/02/11 16:57

    DNS서버에서 ㅇ동 사이트가 입력되면 아이피 주소를 안 주는 게 어떻게 패킷 감청임?

    (CN17fG)

  • Phantasy 2019/02/11 16:43

    지난번에도 올라왔던거 같은데 도대체 중간에서 패킷감청 왜 하는지 모르겠네

    (CN17fG)

  • Digital Forensic 2019/02/11 16:57

    패킷 감청 안 함

    (CN17fG)

  • 루리웹-4251401502 2019/02/11 16:43

    짱짱맨!! 와드

    (CN17fG)

  • USSR만세 2019/02/11 16:43

    우회 방법이고 나발이고 정부 주도로 그 ㅈㄹ을 한다는게 문제라는건데
    그저 응~ 우회하면 그만이야~ 이러고 있으니

    (CN17fG)

  • 하이 호 2019/02/11 16:45

    솔직히 정부 주도로 차단한게 10년이 넘었는데 뭘
    포1르노 합법화 하자고 얘기 꺼낸 모 국회의원은 여야당 할것없이 개까여서 사과까지 하고

    (CN17fG)

  • 앙리의 쥐잡이 2019/02/11 16:45

    일단 우회부터 하라는거지
    진짜 뻔하다 뻔해

    (CN17fG)

  • 사부자 2019/02/11 16:46

    그냥 한결같이 유교같은 정부까면 됨.
    전정부 그립다는 ㅂㅅ만 거르면 깔끔

    (CN17fG)

  • 월급맛있쩡 2019/02/11 16:49

    이거 비추 올라가는 속도보면 작업질하고 있는거야?
    이게 인권유린이지 시..발..

    (CN17fG)

  • 으어어얽 2019/02/11 16:43

    ㅇㄷ

    (CN17fG)

  • 오션체리 2019/02/11 16:44

    와드

    (CN17fG)

  • (*)(*) 2019/02/11 16:44

    일단 와드

    (CN17fG)

  • 군필 여고생 2019/02/11 16:44

    호애애애

    (CN17fG)

  • 루리웹-0890957404 2019/02/11 16:44

    하하 크롬 .

    (CN17fG)

  • erte 2019/02/11 16:44

    우린 답을 찾을 것이다

    (CN17fG)

  • 디올 2019/02/11 16:44

    와드

    (CN17fG)

  • 루리웹-7403764432 2019/02/11 16:44

    크롬에서는 못씀? 20년 넘게 파폭 한번도 안썼는데

    (CN17fG)

  • 이백온 2019/02/11 16:46

    지금은 못쓸걸? 꽤 기다려야할수도

    (CN17fG)

  • 淫亂魔鬼 2019/02/11 16:44

    헨버 속도안나와서 아이언 쓰고 있는데
    파폭도 파놔야 하나...

    (CN17fG)

  • 이렇게 큰건무릿!! 2019/02/11 16:44

    이건 PC기준으로 작성된글이죠? 모바일은 걍 VPN이나 쓰면 될려나..

    (CN17fG)

  • 히나 2019/02/11 16:45

    안드로이드까지는 똑같이 돼요

    (CN17fG)

  • 왜 안돼? 2019/02/11 16:44

    와드

    (CN17fG)

  • 파셔 2019/02/11 16:45

    호에에에에에 수류탄!!

    (CN17fG)

  • 사과말랭이 2019/02/11 16:45

    ㅇㄷ

    (CN17fG)

  • 상스치콤 2019/02/11 16:45

    차단 우회하는 법 있으니 징징대지 말란 애들이해가 안된다
    저걸 차단하려는 시도 자체가 빡치는거 아님?

    (CN17fG)

  • 앙리의 쥐잡이 2019/02/11 16:45

    일단 우회해서 해결하라는 게 그렇게 고까워??
    정부 욕 안해서 거슬려?

    (CN17fG)

  • 상스치콤 2019/02/11 16:46

    앗! 전 절대로 정부욕을 하지 않았습니다~ 가암히 어떻게 정부를 욕하겠습니까???
    나랏님이 막으시면 군말않고 우회나 해서 써야지요~ ㅎㅎㅎ

    (CN17fG)

  • 사부자 2019/02/11 16:47

    어-예

    (CN17fG)

  • 망사표콘돔 2019/02/11 16:51

    너 문재인대통령이라고 썻으면 더욕먹었을건데 다행이다

    (CN17fG)

  • 아데아 2019/02/11 16:45

    14시에도 전화해서 HTTPS 막을 계획이나 시행책같은거 전무하다는 답변은 '확실히'들었는데자세한거 못들어서 다시 전화햇다
    서버한동 날라간거 사실이고 그 DB를 다른 서버에 이전 교체 작업을 하고 있는데 하필 이전시킨 서버가 HTTPS와 관련덴 TLS 프로토콜 수신 처리를 주로맡은곳이라 해외에 서버를 두고 있는 사이트에 접속지연현상이 발생하고있음.
    왜 그런짓을 하냐니까 아무리 HTTPS를 통한 특정 해외사이트 접속량이 늘어났더라도 여전히 국내 네트워크의 전송량이 압도적이라 기존 국내 DB를 처리하는 서버에 이전을 하는것보다 그나마 덜 쓰이는 서버에 DB를 이전시키고 우선처리를 국내 네트워크로 변경해서 해외 접속이 어려울지도 모른다라는 답변은받음.
    언제까지 이런 현상이 발생하냐고 물어보니 관리팀과 연락이 지연되서 바로 답변을 드릴수 없지만 통상 빨라도 2일 정도 걸린다더라
    KT 해외 인터넷전화는 문제가 없냐고 물어보니 서버이전과 별개로 그 부분을 최우선적으로 해결하고 있다더라.즉 KT 인터넷을 쓰는 모든 시스템이 지금 하자가 생긴건데 국내네트워크를 우선순위로 두었기 때문에 국내선에서는 체감을 '거의'할수 없는 상태.
    이 부분으로 상담문의 온 고객들 나말고 더있냐고 물어보니 있는건 그건 답변드릴수 없다더라
    라고 이야기들었는데 뭐가맞는지는....

    (CN17fG)

  • 잔느챠 2019/02/11 16:46

    저건 녹취록 없고
    차단 됐다는 건 녹취록 최소 2개 이상 나왔음

    (CN17fG)

  • 상스치콤 2019/02/11 16:47

    차단없다는 녹취록 0건
    차단 있다 녹취록 2건
    뭐가 맞는지 헷갈리긴 해 나도 ㅎㅎ

    (CN17fG)

  • 뚜에엑 2019/02/11 16:45

    Esni 표준에 들어가려면 좀 걸릴거같은데
    표준화 되어도 각개 지원은 또 별도문제고

    (CN17fG)

  • 히나 2019/02/11 16:47

    네 차기 표준으로 예정되어있기는 한데 아무래도 좀 많이 걸릴 모양이에요....

    (CN17fG)

  • 루리웹-1968637897 2019/02/11 16:45

    땡큐!

    (CN17fG)

  • 성실하게살겠습니다 2019/02/11 16:45

    파폭 떡상이야??

    (CN17fG)

  • 잔느챠 2019/02/11 16:45

    혹시 이해 안 가면
    https://www.clien.net/service/board/park/13150710?od=T31&po=0&category=&groupCd=
    이 링크가서 봐라
    짤로 나와서 상대적으로 이해하기 쉬울 거다

    (CN17fG)

  • 뿌우! 2019/02/11 16:45

    파폭 떡상하네

    (CN17fG)

  • 스텐레스쟁반 2019/02/11 16:45

    ㅇㄷ

    (CN17fG)

  • [필레몬Vll] 2019/02/11 16:46

    고마워요 불여우!

    (CN17fG)

  • gunpowder06 2019/02/11 16:46

    겁나 복잡하네.
    그냥 오페라 브라우저 쓰세요.

    (CN17fG)

  • 침대너무조아 2019/02/11 16:46

    응 우회할 수 있어. 그러니까 정부까지마 이러는 거냐 ㅋㅋ 이런 것들이 금순공정 욕하고 있네 ㅂㅅ들

    (CN17fG)

  • 월급맛있쩡 2019/02/11 16:47

    정부욕하면 벌레로 낙인찍힘 조심

    (CN17fG)

  • 적화통일 김정은똥꼬만세 2019/02/11 16:48

    대깨문들은 적화통일되도 키보드 붙잡고 문재앙 사까시 할거임

    (CN17fG)

  • Nohorse 2019/02/11 16:50

    우리 가족들 말이 맞았네. 누가 되든 다 똑같다는거

    (CN17fG)

  • ONEKILL즉사 2019/02/11 16:52

    이래서 정치쟁이 소위 종교화된것들은 상종을 안함
    독재자 감청은 나쁜거고 지들 감청은 착한 감청인가.
    이번꺼 쉴드치는 애들은 오바마한게 니그로라고 하지마라 착한 스캔이다

    (CN17fG)

  • Nohorse 2019/02/11 16:55

    가족 단위로 매 대선, 국회의원 선거때마다 무효표 넣고 다니면서 정치관련 뉴스 나올때마다 채널 돌리던게 이해간다.

    (CN17fG)

  • 마시마론 2019/02/11 16:46

    ㅇㄷ

    (CN17fG)

  • 오체풀만족 2019/02/11 16:46

    D'oh

    (CN17fG)

  • 코테가와 2019/02/11 16:46

    ㅇㄷ

    (CN17fG)

  • 김비씨 2019/02/11 16:46

    8.8.8.8이 구글 dns던가

    (CN17fG)

  • 히나 2019/02/11 16:48

    failback을 넣어주긴 했는데 일단 DNS를 저리 설정하면 1.1.1.1에서 서버를 찾을 수 없을 경우 더 DB가 충실한 구글 DNS를 이용해 2차적으로 DNS를 확인해요
    Cloudflare 1.1.1.1 DNS가 매우 빠르고 DoH도 지원해주긴 하는데(DoH 쓰라고 광고도 해요) hosts 파일이 조금 부실한 면이 있더라고요

    (CN17fG)

  • 정상인 2019/02/11 16:46

    와드

    (CN17fG)

  • 익스펜더블 2019/02/11 16:46

    ㅇㄷ

    (CN17fG)

  • Gajame 2019/02/11 16:47

    그러니까 https가 차단됐는데 업데이트되면 풀리고.
    파폭으로 dns만져주기만 하면 우회가 된다고?
    이해한거 맞나이거

    (CN17fG)

  • 적화통일 김정은똥꼬만세 2019/02/11 16:47

    인권침해하는거 자체가 문제인데? 뿅뿅공안도 한수 배워갈 수준

    (CN17fG)

  • Digital Forensic 2019/02/11 16:59

    저작권 침해 불법 정보 ㅇ동 사이트 차단이 어떻게 인권 침해임?

    (CN17fG)

  • 히나 2019/02/11 16:50

    DoH시에는 쿼리 전에 이미 클라이언트와 DNS 서버 간 TLS 연결을 진행하는데 이 상황에서 막는다고 말하시는 건가요?

    (CN17fG)

(CN17fG)