SNI 阻断提醒我们：即使是 HTTPS 加密的通信，在握手时也会“说漏嘴”。
在你构建下一代应用、工具或服务时，别忘了这点：安全不是默认的，隐私需要自己争取。

一、SNI 是什么？

SNI，全称 Server Name Indication（服务器名称指示），是 TLS（传输层安全协议）的一个扩展。

在传统 HTTP 中，请求目标的域名信息包含在明文请求头中。而在 HTTPS 中，请求的内容虽然会被加密，但在 TLS 握手开始时，客户端仍需要告诉服务器自己要访问哪个域名，以便服务器返回正确的证书。这部分信息就是通过 SNI 字段传输的。

重点：SNI 字段是明文的，它暴露了你想访问的域名，即便其他通信内容都是加密的。

举个例子：
当你访问 https://example.com 时，浏览器会先发送一个 ClientHello 报文，其中就包含了 example.com 的 SNI 字段。只有在这之后，TLS 握手才会继续并建立加密通道。

二、SNI 阻断的原理是什么？

正因为 SNI 是明文传输的，它就成了防火墙和深度包检测（DPI）系统的“突破口”。

封锁者只需在 TLS 握手过程中抓取流量，读取其中的 SNI 字段：

1. 客户端发起 TLS 握手；
2. 在 ClientHello 中包含明文的 SNI 字段（即你要访问的域名）；
3. 防火墙或 DPI（深度包检测）设备分析该字段；
4. 如果域名匹配封锁规则，则立即阻断连接。

常见的阻断方式包括：

• 发送 TCP RST 包：强制关闭连接；
• 直接丢弃 TLS 握手包：让连接挂起、卡死；
• 注入伪造响应、返回错误页、返回 reset 包；

这种方式对服务端和客户端透明、不依赖解密，加之效率极高，因此广泛用于精准封锁策略中。

三、如何检测 SNI 是否被阻断？

你可以使用如下方式排查：

方法 1：使用 openssl 命令行测试

openssl s_client -connect example.com:443 -servername example.com

• 如果连接能建立，表示 SNI 暂未被封锁；
• 如果连接发生 timeout、reset 或 TLS 握手失败，很可能 SNI 被拦截。

方法 2：使用 Wireshark 抓包

操作步骤：

1. 打开 Wireshark，设置过滤器为 tcp.port == 443；
2. 访问你怀疑被封锁的网站；
3. 查找 ClientHello 包，并检查是否出现：
   • 后续无响应；
   • 接收到 TCP RST；
   • 握手中断在 SNI 之后。
     Wireshark 可视化过程清晰，非常适合深入分析封锁点。

四、对于开发者：如何构建更安全的服务

安全设计的关键词：默认加密、最小权限、最少暴露

不要等出了问题才想着“加个验证”或“换个协议”——安全不是补丁，而应该是架构的一部分。

在你开发每一个接口、设计每一个通信协议、部署每一台服务器时，都可以问问自己：

这个组件，暴露了什么？
是否默认安全？
用户的数据有没有主动保护？

真正可靠的服务，往往不是最强，而是最稳、最透明、最值得信赖。

别忘了：安全不是奢侈品，它是你服务可信赖的基础。