Shadow-TLS — это семейство сетевых протоколов, реализованных в одноимённом ПО с открытым исходным кодом, который используется для создания сетевых туннелей, как правило, в комплекте с таким программным обеспечением как Shadowsocks.

ПО Shadow-TLS - это прокси-сервер для предоставления реального хэндшейка TLS брандмауэру.

Он работает способом анлогичным способу, которым реализует эту задачу trojan, но не требует сертификата подписи.

Брандмауэр, контролирующий переписку, увидит настоящее хэндшейка TLS с действительным сертификатом, который, будет выбран при настройке ПО.

Существуют 3 версии протокола.

Первая, по собственному признанию автора, оказалась малополезной. Вторая включала механизмы защиты от активного зондирования со стороны промежуточных узлов, в том числе процедуру проверки личности клиента путем запроса-ответа и инкапсуляция данных приложения для лучшей маскировки трафика.

В третью версию протокола включены усовершенствования против анализа всего массива трафика путём его перехвата. Работа с ней требует обязательного использования strict mode TLS 1.3.

СсылкиПравить