TLS Padding Extension

RFC 7685 定义了一个 TLS 握手过程中 Client Hello 阶段的 Padding Extension。虽然 RFC 中没有写,但是实践是利用 padding 使 Client Hello 总大小不在 256-511 字节中间。

这是为了解决 F5 公司的某产品的 bug。

另外,规范还规定了 padding 内容必须为全 0,这是为了防止利用 padding 内容进行隐蔽通道数据传输(简而言之,隐蔽信道是攻击者用于突破防火墙检测的数据传输方式,参考中列出了一个实例)。

参考

RFC 7685 - A Transport Layer Security (TLS) ClientHello Padding Extension

Issue 112933006: OpenSSL: add support for the TLS padding extension. - Code Review

SSL/TLS - Typical problems and how to debug them

基于DNS隐蔽信道的攻击与检测 - FreeBuf网络安全行业门户