이번 차단은 분명히 HTTPS의 SNI 필드를 식별하여 연결을 끊어버리는 방식입니다. 그런데 Intra나 다른 DNS 프록시 프로그램으로도 차단이 우회되는 현상을 발견하여 분석해 보았습니다. 저 차단은 완벽히 적용하면 DNS 프록시로 우회가 불가능하지만
어떤 이유에서인지 간단히 우회가 되었습니다.
(생략)
차단 장비를 적당히 대충 만든건지 단순히 패킷 하나만 보고 Client Hello인지 아닌지 판단하기 때문에 여러 패킷으로 나누어서 보내면
알아채지 못하고 넘기는 것 같습니다.
결과적으로 한 번에 보낼 데이터를 여러개로 쪼개서 보내는 것으로 차단 장비를 우회하는 것인데
이는 간단하게 컴퓨터의 MTU를 수정하는걸로 가능합니다.
MTU는 Max Transmission Unit의 약자로 한번에 보낼 데이터의 크기를 뜻합니다. 기본 설정으로는 1500 바이트이지만
이것을 400으로 줄이면 적어도 500 바이트가 넘는 Client Hello 패킷은 자동적으로 2개로 분할되어 전송됩니다.
즉
원리는 한 번에 보낼 데이터를 여러개로 쪼개서 보내는 것으로 차단 장비를 우회하는 것인데
이는 간단하게 컴퓨터의 MTU를 수정하는걸로 가능합니다.
MTU는 Max Transmission Unit의 약자로 한번에 보낼 데이터의 크기를 뜻합니다.
기본 설정으로는 1500 바이트이지만 이것을 400으로 줄이면 적어도 500 바이트가 넘는 Client Hello 패킷은
자동적으로 2개로 분할되어 전송됩니다.
즉 www.naver.com 이라는 데이터를 www.na와 ver.com 두덩어리로 보내서 차단을 피하는 방법입니다.
1.윈도우키+R을 누르고 CMD를 검색하여 관리자 권한으로 실행 합니다.
2.관리자 권한으로 실행한 CDM 창에서 netsh interface ipv4 show interfaces 를 입력 하면
현재 네트워크 어댑터의 MTU를 확인 할 수 있습니다.
3.확인 후 netsh interface ipv4 set subinterface "8" mtu=400 store=persistent 를 입력 하여 MTU를 수정 할 수 있습니다.
("8"안의 숫자는 개인마다 다를수 있으니 확인후 색인의 숫자에 맞춰 넣어주시기 바랍니다.)
4.netsh interface ipv4 set subinterface "이더넷" mtu=400 store=persistent subinterface란을 색인 번호 말고
인터페이스를 직접 적어 수정도 가능 합니다.
5.수정 후 netsh interface ipv4 show interfaces 명령어로 확인 하면 MTU가 400으로 변경 되었음을 확인 하실수 있습니다.
6. 마음껏 웹서핑하시면됩니다.
7. 엣지나 익스플로러의 경우 MTU를 220까지 낮춰야 적용이됩니다. 크롬 유저의 경우는 400으로 충분합니다.
방금 Windows 10 에서 테스트 해 본 결과 성공이었습니다.
요즘 공유기에도 MTU를 수정할 수 있다고 합니다. (자세한 부분은 잘 모르겠습니다.)
프로그램이나 vpn등을 사용하기 꺼려하거나 힘든 분들을 위해서 찾아서 올립니다.
다만 속도 감속은 어느정도 있다고 하니 참조하세요
(정보제공자분의 테스트 결과 500정도면 적당하다고 하네요.)
*참조
netsh int ipv4 set global minmtu=200
mtu 576밑으로 안내려가시는 분들은 위에거 먼저 쓰셔서 최저 mtu낮추면 본문의 방법 사용가능하다고 합니다.
출처: http://blog.deadcoder.net/221463849554 , https://tinyurl.com/y2vdvdmh
ㄱㅅ