Как DPI системы определяют что внутри шифрованного трафика?

Question

[igivanov1111]

Если практически все приложения сейчас используют шифрование, например, https, то как например dpi понимает что используется telegram или WhatsApp? Или какие поисковые запросы делает пользователь? Там же кроме ip адресов в пакетах по идее все зашифровано тогда, а по ip это не определить какой сервис применяют. Я имею в виду без подмены сертификатов и расшифровки трафика как такое возможно?

Comments

[Drno]

по DNS запросу, если его пеерхватывают

[igivanov1111]

Drno, так dns запросы по идее можно маскировать

[Drno]

igivanov1111, а ты попробуй))

[Zerg89]

DoH или уже тоже блокируют?

[igivanov1111]

Dr. Bacon, я пишу много тегов, чтобы больше людей отвечали на вопрос

Answer 1

[SagePtr]

Если речь идёт про блокировку отдельных сайтов, то по SNI-заголовку определяют доменное имя

Comments

[igivanov1111]

А если будут шифровать sni?

[SagePtr]

igivanov1111, мой провайдер тупо дропает ESNI. Если в Firefox его включить, половина сайтов перестаёт сразу открываться без VPN.

Answer 2

[Zerg89]

Думаю что dpi слушает сертификаты sni и блокирует обмен сертификатами с заданным uri домена