vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Спустя 2 года закончилась в*йна между Великим Китайским Файрволом (GFW) и Mozilla.
История, начавшаяся в апреле 2024-го с тихой блокировки QUIC, к концу 2025 года вылилась в глобальный 74-минутный сбой всего интернета в КНР.
В этой статье мы разберем как браузер пытался обойти цензуру, а в итоге прокачал еще сильнее машину цензуры в Китае!
QUIC - это гугловский быстрый UDP который включает в себя функции TCP
ECH (Encrypted Client Hello) - это TLS расширение, которое шифрует доменные имена во время подключени
Долгое время файрвол боролся с QUIC просто блокируя UDP.
Это вроде было эффективно, но ломало слишком много легитимных сервисов. Чем-то напоминает блокировку телеграм в 2018.
В апреле 2024 года исследователи заметили некоторые изменения, Китай начал блокировать QUIC точечно, по доменным именам, несмотря на шифрование.
Логика работы DPI выглядела так
(SNI или Server Name Indication это расширенная версия TLS)
Вся эта клоунада привела к тому, что киатйскому DPI приходилось эвристически определять принадлежность пакетов к потоку.
Исследователи выяснили, что если отправить зашифрованный Client Hello на разрешенный ресурс, а сразу следом пакет на заблокированный, то Файрвол промаргивал второй пакет, помечая весь поток как легитимный.
Фрагментированный пакет просто проходил сквозь фильтр непрочитанным.
Браузер начал успешно открывать запрещенные ресурсы, фактически тролля систему фильтрации стоимостью в миллиарды долларов.
Оказалось, что принудительная дешифровка QUIC-пакетов настолько нагружает процессоры китайского дпи, что систему можно использовать для DDoS-атаки на сам Файрвол
Немного обсудим саму атаку.
Информация создана в информативных целях, пожалуйста, не ддосьте китайский фаервол и не повторяйте это дома,
Злоумышленник может отправить поток валидных QUIC-пакетов с мусорным SNI. Файрвол потратит все ресурсы CPU на попытку их расшифровать и проверить по базе. В результате оборудование переходит в один из двух аварийных режимов, то есть
Либо, перестает блокировать что-либо, то есть цензура падает ....или просто блокирует весь трафик
Именно второй сценарий был реализован 20 августа 2025, когда в ходе тестов или реальной атаки когда Китай пережил 74-минутный сбой, заблокировав порт 443 (HTTPS/QUIC) для целых провинций.
Инфраструктура Firefox в Китае была свернута, а фича с ECH и слайсингом перестала работать из-за блокировок IP-адресов серверов Mozilla
Источник
История, начавшаяся в апреле 2024-го с тихой блокировки QUIC, к концу 2025 года вылилась в глобальный 74-минутный сбой всего интернета в КНР.
В этой статье мы разберем как браузер пытался обойти цензуру, а в итоге прокачал еще сильнее машину цензуры в Китае!
Китай гугловские протоколы блочил
Начиналось это все с блокировкой QUICQUIC - это гугловский быстрый UDP который включает в себя функции TCP
ECH (Encrypted Client Hello) - это TLS расширение, которое шифрует доменные имена во время подключени
Долгое время файрвол боролся с QUIC просто блокируя UDP.
Это вроде было эффективно, но ломало слишком много легитимных сервисов. Чем-то напоминает блокировку телеграм в 2018.
В апреле 2024 года исследователи заметили некоторые изменения, Китай начал блокировать QUIC точечно, по доменным именам, несмотря на шифрование.
Логика работы DPI выглядела так
- Перехватывается первый тестовый пакет Client Hello.
- Извлекается DCID и используется как соль для генерации ключей.
- Пакет расшифровывается
- Если SNI (Server Name Indication) находится в черном списке, то пакет летит в /dev/null.
А что потом? Дыра в фаерволе
В апреле 2025 года, с выходом Firefox 137, Mozilla внедрила механизмы SNI слайсинга,(SNI или Server Name Indication это расширенная версия TLS)
Вся эта клоунада привела к тому, что киатйскому DPI приходилось эвристически определять принадлежность пакетов к потоку.
Исследователи выяснили, что если отправить зашифрованный Client Hello на разрешенный ресурс, а сразу следом пакет на заблокированный, то Файрвол промаргивал второй пакет, помечая весь поток как легитимный.
Еще дыры в фаерволе
Второй метод это фрагментация, или разбиение того самого тестового Client Hello на два UDP-фрейма. GFW не имел достаточно памяти, чтобы собирать и склеивать фрагменты для миллионов соединений одновременно.Фрагментированный пакет просто проходил сквозь фильтр непрочитанным.
Браузер начал успешно открывать запрещенные ресурсы, фактически тролля систему фильтрации стоимостью в миллиарды долларов.
Китайцы сломали интернет
Кульминация наступила в августе 2025 года. когда на конференции USENIX Security '25 исследователи представила доклад, в котором раскрыла фатальную ошибку архитектуры GFW,.Оказалось, что принудительная дешифровка QUIC-пакетов настолько нагружает процессоры китайского дпи, что систему можно использовать для DDoS-атаки на сам Файрвол
Немного обсудим саму атаку.
Информация создана в информативных целях, пожалуйста, не ддосьте китайский фаервол и не повторяйте это дома,
Злоумышленник может отправить поток валидных QUIC-пакетов с мусорным SNI. Файрвол потратит все ресурсы CPU на попытку их расшифровать и проверить по базе. В результате оборудование переходит в один из двух аварийных режимов, то есть
Либо, перестает блокировать что-либо, то есть цензура падает ....или просто блокирует весь трафик
Именно второй сценарий был реализован 20 августа 2025, когда в ходе тестов или реальной атаки когда Китай пережил 74-минутный сбой, заблокировав порт 443 (HTTPS/QUIC) для целых провинций.
Чем все закончилось?
Стало очевидно, что технически залатать дыры в протоколе QUIC без последствий невозможно . В июле 2025 года появились сообщения о том, что китайское юрлицо Mozilla столкнулось с угрозой принудительного закрытия. Власти поставили ультиматум либо внедрение государственного корневого сертификата, что позволяет проводить MITM-атаки и дешифровать трафик без перегрузки CPU, либо уходите навсегда дураки американскиеИнфраструктура Firefox в Китае была свернута, а фича с ECH и слайсингом перестала работать из-за блокировок IP-адресов серверов Mozilla
Источник
