GFW 更新了基于 SNI 的 QUIC 封锁机制
在USENIX Security '25的最新论文中,研究团队通过测量与分析,发现 GFW 自2024年4月起进行了升级,现可通过大规模解密QUIC Initial数据包,应用启发式过滤规则,并维护一份独特的封锁名单,进行基于SNI的实时审查与域名屏蔽。研究还发现GFW会忽略源端口小于或等于目标端口的QUIC数据包,表明其仅检测客户端发起的流量。研究还发现了该系统带来的两个全新攻击向量——降级攻击:利用解密带来的计算开销,通过发送少量精心构造的流量即可压垮审查设备,暂时降低GFW的审查效率;可用性攻击:任何人都能将GFW“武器化”,屏蔽中国境内外任意主机间的UDP通讯。研究团队已和 Mozilla (Firefox & Neqo)、quic-go及所有主流的基于QUIC的翻墙工具合作,设计并部署了有效的缓解措施。该团队已遵循“负责任的漏洞披露”原则,向CNCERT及方滨兴本人通报了可用性攻击漏洞。
—— gfw.report
在USENIX Security '25的最新论文中,研究团队通过测量与分析,发现 GFW 自2024年4月起进行了升级,现可通过大规模解密QUIC Initial数据包,应用启发式过滤规则,并维护一份独特的封锁名单,进行基于SNI的实时审查与域名屏蔽。研究还发现GFW会忽略源端口小于或等于目标端口的QUIC数据包,表明其仅检测客户端发起的流量。研究还发现了该系统带来的两个全新攻击向量——降级攻击:利用解密带来的计算开销,通过发送少量精心构造的流量即可压垮审查设备,暂时降低GFW的审查效率;可用性攻击:任何人都能将GFW“武器化”,屏蔽中国境内外任意主机间的UDP通讯。研究团队已和 Mozilla (Firefox & Neqo)、quic-go及所有主流的基于QUIC的翻墙工具合作,设计并部署了有效的缓解措施。该团队已遵循“负责任的漏洞披露”原则,向CNCERT及方滨兴本人通报了可用性攻击漏洞。
—— gfw.report