SNI - complementing DNS spoofing

最近改hosts以应对DNS污染的方式失效了
Reach-DNS也因此成为了一发布就失效的项目
而这一切的背后,便是SNI阻断
SNI - Server Name Indication,用于TLS握手时的证书选择
TLS1.3中会加入ESNI,加密的SNI传输
但目前未广泛部署
因而SNI仍被明文传输

#尝试以下命令
wget -O /dev/null https://en.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5 \
--header 'Host: zh.wikipedia.org'
#再尝试以下命令
wget -O /dev/null https://zh.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5 \
--header 'Host: zh.wikipedia.org'
#注意到唯一的不同之处在于server name
#但对于
dig en.wikipedia.org
dig zh.wikipedia.org
#结果均为198.35.26.96

也即IP层并未被阻断
可见问题在于明文SNI被过滤了
至于解决方案换个不支持SNI的浏览器,比如Firefox 1
或者……..
其实我也还没找到靠谱的解决方案
不过可以了解一下INTANG
一个直接干扰TCB的项目