[转载]揭示并绕过中国防火长城基于SNI的QUIC封锁机制

Tech discussion / 技术交流
1

https://x.com/gfw_report/status/1950828073336676482
推文 1/3

中国防火长城 (GFW) 自2024年4月起进行了升级,现可通过检测加密的QUIC初始包,进行基于SNI的实时审查与域名屏蔽。

我们在USENIX Security '25的最新论文中,深入分析了其审查逻辑、启发式解析规则和黑名单,揭示了GFW的屏蔽方式与目标。

论文中文版: 揭示并绕过中国防火长城基于SNI的QUIC封锁机制

推文 2/3

更严重的是,我们发现了该系统带来的两个全新攻击向量:

:one: 降级攻击:我们首次提出,通过发送少量精心构造的流量即可压垮审查设备,暂时降低GFW的审查效率。

:two: 可用性攻击:任何人都能将GFW“武器化”,借GFW之手屏蔽中国境内外任意主机间的UDP通讯!

推文 3/3

我们遵循“负责任的漏洞披露”原则,向CNCERT及方滨兴本人通报了可用性攻击漏洞(他们的反应详见论文)。

同时,我们已和
@Mozilla
(Firefox & Neqo)、quic-go及所有主流的基于QUIC的翻墙工具合作,设计并部署了有效的缓解措施,以保护全球用户。:white_check_mark:

1 个赞