我们在 USENIX Security '25 会议上发表的最新研究报告揭示,中国的防火长城 (G F W) 自2024年4月起,已经可以检测加密的QUIC初始数据包,以进行基于服务器名称指示 (SNI) 的实时审查和域名屏蔽。我们的论文深入分析了其审查逻辑、逆向工程了其启发式解析规则,并揭示了其封锁名单。
这个新系统引入了两个严重的漏洞:
1️⃣ 降级攻击 (Degradation Attack): 我们提出了一种新型攻击方式,通过发送适量的精心构造的数据包,即可压垮审查设备,从而暂时性地降低G F W的审查效率。
2️⃣ 可用性攻击 (Availability Attack): 我们发现,任何人都可以利用G F W作为武器发动可用性攻击,从而借G F W之手,阻断中国与世界其他地区之间任意主机间的UDP通讯。
鉴于可用性攻击的严重性,我们遵循了“负责任的漏洞披露”原则,向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。
为了保护用户,我们已经与行业领导者合作,包括 Mozilla (Firefox & Neqo)、qu ic-go 项目以及所有主要的基于QUIC的fq工具的开发者,共同设计并部署了有效的缓解措施。
论文中文版:
https://g删除fw.report/publi删除cations/usenixsecurity25/zh/
上一篇:
国行 Mac 开启Apple Intelligent 脚本下一篇:没了