원리 설명

클라이언트가 서버와 연결이 되고 나서 ClientHello를 보내는데 여기에 SNI 정보가 들어가 있습니다. 이 SNI 정보를 임의의 값(차단이 되지 않는)으로 변경해서 보내면 네트워크 탐지 장비에서는 차단을 하지 않게 됩니다. 물론 SNI를 확인하는 웹서버의 경우에는 제대로 된 통신이 되지 않을 수도 있습니다(여러군데 테스트 결과 웹서버마다 결과가 다름).


대응방안

클라이언트에서 서버로 보내는 SNI 정보만 확인하지 말고 서버에서 클라이언트에게 보내는 인증서 정보까지 확인하도록 한다.


시연 동영상