1
GreenTunnel, birçok ISS'de (İnternet Servis Sağlayıcıları) bulunan ve belirli web sitelerine erişimi engelleyen DPI (Deep Packet Inspection) sistemlerini atlar.DNS Bir Web tarayıcısına bir URL girdiğinizde, Web tarayıcısının yaptığı ilk şey, bilinen bir sayısal adresteki bir DNS (Etki Alanı Adı Sistemi) sunucusundan URL'de başvurulan etki alanı adını aramak ve buna karşılık gelen kaynağı sağlamaktır.IP adresi.DNS sunucusu erişimi engelleyecek şekilde yapılandırılmışsa, yasaklanan alan adlarının bir kara listesine başvurur.Bir tarayıcı bu etki alanı adlarından biri için IP adresi istediğinde, DNS sunucusu yanlış bir yanıt verir veya hiç yanıt vermez.GreenTunnel, gerçek IP adresi almak ve DNS Kimlik Sahtekarlığını atlamak için HTTPS üzerinden DNS ve TLS üzerinden DNS kullanır .... HTTP DPI'da sağlayıcılarda boşluklar vardır.Standart kuralların izin verdiği tüm olası durumları göz ardı ederek, sıradan kullanıcı programları için DPI kurallarının yazdıklarından kaynaklanırlar.Bu basitlik ve hız için yapılır.Bazı DPI'lar, TCP segmentlerine ayrılırsa HTTP isteğini tanıyamaz.Örneğin, formun bir isteği 2 bölüm halinde gönderiyoruz: önce GET / HTTP / 1.0 \ n Sunucusu geliyor: ve ikincisi tube.com olarak gönderiyor \ n .... bu örnekte ISS, YouTube'da engellenmiş kelime bulunamadıpaketleri ve bypass!HTTPS Sunucu Adı Göstergesi (SNI), istemcinin HTTPS üzerinden erişmeye çalıştığı gerçek hedef ana bilgisayar adını belirten TLS'ye (Aktarım Katmanı Güvenliği) yapılan bir uzantıdır.Bu Web Filtresi özelliği için, SNTPS üzerinden belirli sitelere erişimi engellemek için SNI ana bilgisayar adı bilgileri kullanılır.Örneğin, yönetici bu özelliği kullanarak YouTube ana bilgisayar adını engellemeyi seçerse, SNI gibi YouTube içeren HTTPS üzerinden yapılan tüm Web Sitesi erişim denemeleri engellenir.Ancak, HTTP üzerinden aynı ana makine adına erişim bu özellik tarafından engellenmez.GreenTunnel ilk CLIENT-HELLO paketini küçük parçalara ayırmaya çalışıyor ve İSS'ler paketi ayrıştıramıyor ve SNI alanını bu yüzden trafiği atlıyor!