Неудачная модернизация «Великого китайского файрвола» грозит сбоями интернет-цензуры в Китае
Почему китайский файрвол не справляется с QUIC (и что это значит для вас)
Протокол QUIC от Google — быстрый, зашифрованный, работает поверх UDP. Казалось бы, идеальный инструмент для обхода блокировок. Но китайская Great Firewall не дремлет: с апреля 2024 года она пытается резать QUIC-трафик. Вопрос — насколько успешно? Исследователи из MIT, Стэнфорда и Университета Колорадо провели эксперименты. Их выводы: цензура QUIC — дырявая, ресурсоемкая и опасная для самой системы. Давайте разберемся по косточкам.
Что такое QUIC и почему он так важен
QUIC (Quick UDP Internet Connections) придумали в Google ещё в 2012 году. Вместо классического TCP он использует UDP. Это даёт два преимущества: меньше задержка при установке соединения и встроенное шифрование (аналог TLS). Протокол мультиплексирует потоки — потеря одного пакета не тормозит остальные. Сегодня как минимум 10% сайтов работают через QUIC, включая сервисы Google и Meta*.
| Параметр | TCP + TLS | QUIC |
|---|---|---|
| Транспорт | TCP | UDP |
| Задержка соединения | 2-3 RTT | 0-1 RTT |
| Шифрование | TLS (SNI открыт) | Все пакеты зашифрованы |
| Потеря пакетов | Блокирует поток | Не влияет на другие потоки |
Для пользователей это означает: YouTube грузится быстрее, сайты открываются мгновенно. Но для цензоров — головная боль. В TLS имя сервера (SNI) передаётся открытым текстом — блокировать легко. В QUIC даже первое рукопожатие зашифровано. Правда, ключ можно вычислить пассивно, но на это уходят ресурсы.
Как Великий файрвол пытается блокировать QUIC (и почему плохо)
Исследователи протестировали блокировку в Пекине, Шанхае и Гуанчжоу. И обнаружили странные вещи. Чёрный список QUIC составляет лишь 60% от DNS-списка. Многие домены в нём даже не поддерживают QUIC — зачем их туда включили? Загадка. Кроме того, система парсинга пакетов «сбоит»: файрвол тратит время на обработку легального трафика, который не нарушает запретов.
«Чёткая суточная закономерность во всех трёх городах: процент блокировки достигает пика в ранние утренние часы и снижается до минимума в течение дня». — из исследовательской статьи.
Почему так происходит? Чтобы определить домен, файрволу нужно расшифровать первый пакет QUIC. Это дорогостоящая операция. Днём трафика больше — процессор не справляется, часть соединений пропускает. Ночью нагрузка падает — цензура жёстче. Личное наблюдение автора: недавно я заметил, что мой тестовый VPN на QUIC днём работал стабильнее, чем в 3 часа ночи. Теперь понятно почему.
Уязвимости, которые ставят под удар всю систему
Исследователи нашли два способа ослабить файрвол. Первый — атака на производительность. Достаточно отправлять специально сформированные пакеты QUIC — цензор начнёт тратить ресурсы на их обработку, блокировка реальных соединений снизится. Второй — атака на доступность DNS. Механизм цензуры позволяет злоумышленникам «заклеить» блокировку: файрвол обычно снимает её через несколько минут, но можно постоянно подсовывать поддельные пакеты. В результате на несколько часов блокируются все иностранные DNS-резолверы — интернет в Китае встаёт колом.
Исследователи решили раскрыть информацию по частям. В январе 2025 года они сообщили китайским властям об уязвимости — но не о возможности снижать производительность. Ту часть они оставили для сообщества борцов с цензурой. Почему? Потому что атака на производительность бьёт только по инфраструктуре файрвола, а не по обычным пользователям. Если бы они рассказали всё цензору, тот бы усилил защиту до того, как о методе узнали бы другие.
Как проверить, трогают ли ваш QUIC-трафик
Вам это пригодится, если вы используете QUIC-совместимые сервисы (Chrome, YouTube, некоторые VPN).
Шаг 1. Установите Wireshark или tcpdump.
Шаг 2. Выполните захват трафика на интерфейсе, который идёт через возможную цензуру.
Шаг 3. Отфильтруйте QUIC (порт 443 или приложение quic).
Шаг 4. Посмотрите, повторяются ли пакеты с одинаковыми номерами — это признак того, что файрвол перехватывает и дублирует трафик. Обратите внимание на временные метки: если в ваше время суток блокировка сильнее, вы увидите больше сброшенных соединений.
Кстати, момент: уязвимость Wallbleed, обнаруженная ещё в 2021 году, показала, что данные в памяти оборудования файрвола висят 0–5 секунд. Этого хватает, чтобы извлечь 122 байта информации — кому-то это может помочь в обходе.
Моё мнение: игра в кошки-мышки продолжается
Китайцы могут улучшить систему — увеличить мощность, исправить парсинг. Но QUIC динамичен: каждый новый релиз протокола меняет структуру пакетов. Цензоры будут вечно догонять. Для обычного пользователя это значит одно: технологии обхода становятся всё умнее, а цензура — всё дороже. Пока есть такие лазейки, интернет останется чуть свободнее, чем хотелось бы властям. И это хорошая новость.
