GreenTunnel omija systemy DPI (Deep Packet Inspection) występujące u wielu dostawców usług internetowych (ISP), które blokują dostęp do niektórych stron internetowych.DNS Po wprowadzeniu adresu URL w przeglądarce internetowej pierwszą czynnością przeglądarki internetowej jest poproszenie serwera DNS (Domain Name System) o znanym adresie numerycznym o wyszukanie nazwy domeny, do której odnosi się adres URL, i podanie odpowiedniegoAdres IP.Jeśli serwer DNS jest skonfigurowany do blokowania dostępu, przegląda czarną listę zabronionych nazw domen.Gdy przeglądarka żąda adresu IP dla jednej z tych nazw domen, serwer DNS podaje złą odpowiedź lub w ogóle jej nie ma.GreenTunnel używa DNS przez HTTPS i DNS przez TLS, aby uzyskać prawdziwy adres IP i ominąć fałszowanie DNS ... HTTP W dostawcach DPI występują luki.Wynika to z tego, co piszą reguły DPI dla zwykłych programów użytkownika, pomijając wszystkie możliwe przypadki, które są dozwolone przez standardy.Odbywa się to dla uproszczenia i szybkości.Niektóre DPI nie mogą rozpoznać żądania HTTP, jeśli jest ono podzielone na segmenty TCP.Na przykład żądanie formularza Wysyłamy je w dwóch częściach: najpierw przychodzi GET / HTTP / 1.0 \ n Host: a następnie wysyła jako tube.com \ n .... w tym przykładzie ISP nie może znaleźć zablokowanego słowa YouTube wpakiety i ominąć!Wskazanie nazwy serwera HTTPS (SNI) to rozszerzenie TLS (Transport Layer Security), które wskazuje rzeczywistą docelową nazwę hosta, do której klient próbuje uzyskać dostęp przez HTTPS.W przypadku tej funkcji filtru internetowego informacje o nazwie hosta SNI służą do blokowania dostępu do określonych witryn za pośrednictwem protokołu HTTPS.Na przykład, jeśli administrator zdecyduje się zablokować nazwę hosta YouTube za pomocą tej funkcji, wszystkie próby dostępu do witryny przez HTTPS, które zawierają YouTube jak w SNI, zostaną zablokowane.Jednak ta funkcja nie blokuje dostępu do tej samej nazwy hosta przez HTTP.GreenTunnel próbuje podzielić pierwszy pakiet CLIENT-HELLO na małe porcje, a dostawcy usług internetowych nie mogą przeanalizować pakietu i znaleźć pola SNI, więc ominąć ruch!