हां, और उन्हें यहां किसी जादू की जरूरत नहीं है, बस टीसीपी पैकेट सामग्री पर तुच्छ मिलान है। भले ही एसएसएच और टीएलएस (एसएसएल) अपने पेलोड को एन्क्रिप्ट करते हैं , लेकिन प्रोटोकॉल हेडर स्वयं अभी भी एक दूसरे से अलग और बहुत अलग हैं। उदाहरण के लिए, SSHv2 कनेक्शन हमेशा क्लाइंट भेजने के साथ शुरू होता है SSH-2.0-(client name and version)। इसी तरह, भले ही आपके फ़ायरवॉल को वास्तव में पता न चले कि क्या टीएलएस कनेक्शन HTTP को अंदर ले जाता है, यह TLS को ही पहचान सकता है ।
टीसीपी के ऊपर की परतों का निरीक्षण आम तौर पर "डीप पैकेट निरीक्षण" के अंतर्गत आता है, जो एक अपेक्षाकृत सामान्य विशेषता है।
बाईपास करने का एक स्पष्ट तरीका यह है कि एसएसएल को टीएलएस के अंदर रखा जाए - उदाहरण के लिए, स्टनेल, हाइपोक्सी, या स्निप्रोसी का उपयोग करके। (सादा टनलिंग के अलावा, जहाँ पोर्ट 443 SSH-over-TLS को समर्पित है, वे SSH / HTTP / अन्य प्रोटोकॉल को SNI और ALPN पर आधारित समान पोर्ट पर मल्टीप्लेक्स भी कर सकते हैं।)
हालांकि यह हमेशा बहुत परिष्कृत ट्रैफ़िक विश्लेषण को नहीं हराएगा, फिर भी यह अधिकांश फ़िल्टर को बाईपास कर देगा जो केवल "यह एक टीएलएस हेडर जैसा दिखता है" की जांच करता है।
और फिर फायरवॉल के कष्टप्रद प्रकार हैं - जो सभी ट्रैफ़िक को डिक्रिप्ट और पुनः एन्क्रिप्ट करने के लिए टीएलएस को रोकते हैं । ये वास्तव में टीएलएस के अंदर देख सकते हैं, और बाकी सभी चीजों को अवरुद्ध करते हुए HTTP अनुरोधों को पारित कर सकते हैं। (ध्यान दें कि कुछ एंटीवायरस प्रोग्राम भी यही काम करते हैं।) आप सर्वर प्रमाणपत्रों को देखकर इस तरह की पहचान कर सकते हैं; सभी प्रॉक्सी-जनरेट किए गए प्रमाणपत्र समान दिखते हैं, और अक्सर सत्यापन पास नहीं करते हैं, जबकि असली प्रमाण पत्र विभिन्न विभिन्न सीए द्वारा जारी किए जाते हैं।