中国防火长城 (GFW) 已具备QUIC SNI审查能力

我们在 USENIX Security '25 会议上发表的最新研究报告揭示，中国的防火长城 (GFW) 自2024年4月起，已经可以检测加密的QUIC初始数据包，以进行基于服务器名称指示 (SNI) 的实时审查和域名屏蔽。我们的论文深入分析了其审查逻辑、逆向工程了其启发式解析规则，并揭示了其封锁名单。

这个新系统引入了两个严重的漏洞：

1️⃣ 降级攻击 (Degradation Attack): 我们提出了一种新型攻击方式，通过发送适量的精心构造的数据包，即可压垮审查设备，从而暂时性地降低GFW的审查效率。

2️⃣ 可用性攻击 (Availability Attack): 我们发现，任何人都可以利用GFW作为武器发动可用性攻击，从而借GFW之手，阻断中国与世界其他地区之间任意主机间的UDP通讯。

鉴于可用性攻击的严重性，我们遵循了“负责任的漏洞披露”原则，向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。

为了保护用户，我们已经与行业领导者合作，包括 Mozilla (Firefox & Neqo)、quic-go 项目以及所有主要的基于QUIC的翻墙工具的开发者，共同设计并部署了有效的缓解措施。

论文中文版：
https://gfw.report/publications/usenixsecurity25/zh/

The Great Firewall of China anomalously conducted a large-scale, unconditional block targeting TCP port 443 on August 20, 2025, causing massive disruption of the Internet.

This report documents the measurements and analysis we conducted of that event:

https://gfw.report/blog/gfw_unconditional_rst_20250820/en/

我们观测到中国的防火长城 (GFW) 于北京时间2025年8月20日凌晨，对 TCP 443 端口进行无差别封锁。这对互联网造成短暂但大规模的影响。

我们发现注入封锁的设备指纹与已知 GFW 设备不同，这可能意味着 GFW 尝试启用新设备，或在旧有设备上使用（错误的）新配置。

中文报告：

https://gfw.report/blog/gfw_unconditional_rst_20250820/zh/

The Great Firewall of China (GFW) today experienced the largest internal document leak in its history. More than 500GB of source code, work logs, and internal communications have been exposed, revealing details about the development and operation of the GFW.

The leak originated from a core technical force — Geedge Networks (with chief scientist Fang Binxing) and the MESA Lab in the Institute of Information Engineering, Chinese Academy of Sciences.

The company not only provides services to local governments in Xinjiang, Jiangsu, and Fujian, but also exports censorship and surveillance technology to countries such as Myanmar, Pakistan, Ethiopia, and Kazakhstan under the “Belt and Road” framework.

Due to the massive volume of material, GFW Report will continue analyzing and updating on this page:

https://gfw.report/blog/geedge_and_mesa_leak/en/