中国防火长城 (GFW) 已具备QUIC SNI审查能力
我们在 USENIX Security '25 会议上发表的最新研究报告揭示,中国的防火长城 (GFW) 自2024年4月起,已经可以检测加密的QUIC初始数据包,以进行基于服务器名称指示 (SNI) 的实时审查和域名屏蔽。我们的论文深入分析了其审查逻辑、逆向工程了其启发式解析规则,并揭示了其封锁名单。
这个新系统引入了两个严重的漏洞:
1️⃣ 降级攻击 (Degradation Attack): 我们提出了一种新型攻击方式,通过发送适量的精心构造的数据包,即可压垮审查设备,从而暂时性地降低GFW的审查效率。
2️⃣ 可用性攻击 (Availability Attack): 我们发现,任何人都可以利用GFW作为武器发动可用性攻击,从而借GFW之手,阻断中国与世界其他地区之间任意主机间的UDP通讯。
鉴于可用性攻击的严重性,我们遵循了“负责任的漏洞披露”原则,向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。
为了保护用户,我们已经与行业领导者合作,包括 Mozilla (Firefox & Neqo)、quic-go 项目以及所有主要的基于QUIC的翻墙工具的开发者,共同设计并部署了有效的缓解措施。
我们在 USENIX Security '25 会议上发表的最新研究报告揭示,中国的防火长城 (GFW) 自2024年4月起,已经可以检测加密的QUIC初始数据包,以进行基于服务器名称指示 (SNI) 的实时审查和域名屏蔽。我们的论文深入分析了其审查逻辑、逆向工程了其启发式解析规则,并揭示了其封锁名单。
这个新系统引入了两个严重的漏洞:
1️⃣ 降级攻击 (Degradation Attack): 我们提出了一种新型攻击方式,通过发送适量的精心构造的数据包,即可压垮审查设备,从而暂时性地降低GFW的审查效率。
2️⃣ 可用性攻击 (Availability Attack): 我们发现,任何人都可以利用GFW作为武器发动可用性攻击,从而借GFW之手,阻断中国与世界其他地区之间任意主机间的UDP通讯。
鉴于可用性攻击的严重性,我们遵循了“负责任的漏洞披露”原则,向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。
为了保护用户,我们已经与行业领导者合作,包括 Mozilla (Firefox & Neqo)、quic-go 项目以及所有主要的基于QUIC的翻墙工具的开发者,共同设计并部署了有效的缓解措施。
泄露文件显示GFW背后的公司在福建江苏等地部署了省级防火墙
一份报告根据已泄露的大量文件发现,一家名为积至(海南)信息技术有限公司(Geedge Networks Ltd.)的公司参与了中国防火墙的区域化进程。该公司的投资人包括“中国防火墙之父”方滨兴。这是首次有直接证据证明省墙的存在。
记录显示,积至公司2022年开始在福建省进行一个类似的省级防火墙试点项目,在泄露的文件中,这个试点项目没有代号,仅被称为“福建项目” 。该公司的硬件安装在福建省多个城市的数据中心:泉州、福州、漳州、宁德和厦门。
一张来自福建项目2022年8月某周的仪表板截图,页面标题为“泉州市公安局清源系统”,显示了涉诈服务区域分布、拦截信息、拦截网址排行版以及访问网址人的手机号码等信息。
几份文件还提到了一个在江苏的项目。积至公司与地方当局合作的公开动机是打击网络诈骗 。通信记录显示,公安厅对于允许积至公司创建一个大数据集群犹豫不决,更倾向于让其将其工具部署在现有基础设施上 。一个名为“江苏南京”的初始测试环境于2023年2月投入运行,而“江苏反诈项目”似乎已于2024年3月15日进入生产环境。
一份报告根据已泄露的大量文件发现,一家名为积至(海南)信息技术有限公司(Geedge Networks Ltd.)的公司参与了中国防火墙的区域化进程。该公司的投资人包括“中国防火墙之父”方滨兴。这是首次有直接证据证明省墙的存在。
记录显示,积至公司2022年开始在福建省进行一个类似的省级防火墙试点项目,在泄露的文件中,这个试点项目没有代号,仅被称为“福建项目” 。该公司的硬件安装在福建省多个城市的数据中心:泉州、福州、漳州、宁德和厦门。
一张来自福建项目2022年8月某周的仪表板截图,页面标题为“泉州市公安局清源系统”,显示了涉诈服务区域分布、拦截信息、拦截网址排行版以及访问网址人的手机号码等信息。
几份文件还提到了一个在江苏的项目。积至公司与地方当局合作的公开动机是打击网络诈骗 。通信记录显示,公安厅对于允许积至公司创建一个大数据集群犹豫不决,更倾向于让其将其工具部署在现有基础设施上 。一个名为“江苏南京”的初始测试环境于2023年2月投入运行,而“江苏反诈项目”似乎已于2024年3月15日进入生产环境。
InterSecLab
The Internet Coup: A Technical Analysis on How a Chinese Company is Exporting The Great Firewall to Autocratic Regimes | InterSecLab
This research reveals groundbreaking findings on how Geedge Networks is selling an extensive suite of next-generation digital repression tools to client governments around the world.
大范围通报重启
目前已知信息:
1.订阅自毁机场 有被通报
2.全封端机场 有被通报
3.全部重置过订阅链接机场 有被通报
4.之前没被通报过的机场 有被通报
怀疑方向:
1.人工采集
2.协议特征
节点不通就是被通报了,目前有直连方案。先使用直连等待修复即可。
目前已知信息:
1.订阅自毁机场 有被通报
2.全封端机场 有被通报
3.全部重置过订阅链接机场 有被通报
4.之前没被通报过的机场 有被通报
怀疑方向:
1.人工采集
2.协议特征
节点不通就是被通报了,目前有直连方案。先使用直连等待修复即可。
大范围通报重启
目前已知信息:
1.订阅自毁机场 有被通报
2.全封端机场 有被通报
3.全部重置过订阅链接机场 有被通报
4.之前没被通报过的机场 有被通报
怀疑方向:
1.人工采集
2.协议特征
由于通报常态化节点不通就是被通报了,目前有直连方案。先使用直连等待修复即可。
目前已知信息:
1.订阅自毁机场 有被通报
2.全封端机场 有被通报
3.全部重置过订阅链接机场 有被通报
4.之前没被通报过的机场 有被通报
怀疑方向:
1.人工采集
2.协议特征
由于通报常态化节点不通就是被通报了,目前有直连方案。先使用直连等待修复即可。
近期测试使用复写 DNS 的方式可以解决部分机场入口域名被污染的问题
目前测试使用 https://v.recipes/dns-cn 是中国大陆内唯一友好一点的DOH服务器
以下域名 example.com 在下发给用户的时候替换成自己的即可,有多个写多行
Clash系列,支持机场后台配置下发(参考):
fallback:
- https://v.recipes/dns-cn
fallback-filter:
geoip: true
geoip-code: CN
ipcidr:
- 240.0.0.0/4
domain:
- '+.example.com'
Clash 的 Mihomo 新内核系列也可以机场后台配置下发(参考):
nameserver-policy:
"+.example.com":
- https://v.recipes/dns-cn
Loon、Surge、Shadowrocket 配置文件修改,
(Surge、Loon支持机场后台下发)
[Host]
*.example.com = server:https://v.recipes/dns-cn
也可以使用模块远程下发 https://dns.haruka.cloud,域名填写 *.example.com 即可
Quantumult X (支持后台下发、不支持模块下发)
[dns]
doq-server = /*.example.com/https://v.recipes/dns-cn
目前测试使用 https://v.recipes/dns-cn 是中国大陆内唯一友好一点的DOH服务器
以下域名 example.com 在下发给用户的时候替换成自己的即可,有多个写多行
Clash系列,支持机场后台配置下发(参考):
fallback:
- https://v.recipes/dns-cn
fallback-filter:
geoip: true
geoip-code: CN
ipcidr:
- 240.0.0.0/4
domain:
- '+.example.com'
Clash 的 Mihomo 新内核系列也可以机场后台配置下发(参考):
nameserver-policy:
"+.example.com":
- https://v.recipes/dns-cn
Loon、Surge、Shadowrocket 配置文件修改,
(Surge、Loon支持机场后台下发)
[Host]
*.example.com = server:https://v.recipes/dns-cn
也可以使用模块远程下发 https://dns.haruka.cloud,域名填写 *.example.com 即可
Quantumult X (支持后台下发、不支持模块下发)
[dns]
doq-server = /*.example.com/https://v.recipes/dns-cn
此次打击清算翻墙国内中转的力度前所未有,TG机场群和Twitter帖一片哀嚎,说是国内中转翻墙机场至暗时刻也不为过。如此迅速的大规模、系统性打击应该是来自高层的指示。因为国内中转机到掌控权在打击者监管方手里,要封锁可谓是易如反掌,国家层级的封锁,即使被拔线也毫无反抗之力。至于为什么这次力度这么大,原因不清楚也不需要纠结。
此次打击对所有中转机场都有影响,因为是连坐制的,一旦有一个机场通报整个ip段都会被拔,也就是说即使你的机场没通报,也一样会受到影响,因为没人可保证其他机场不会被通报。(提出ip通报连坐制的真是个天才)。同时即使都没通报,IDC为了安全也会主动清退。所以即使目前正常的中转(包括专线中转)机场也是岌岌可危的。
目前各机场也是各显神通,采取包括封端,自建DNS,更换直连协议节点,海外中转等策略。本质上这是一场回合制游戏,GFW出牌之后轮到我们出牌了而已。只希望这轮高压态势不会持续太久。
目前没有任何一家中转机场可以做到 100% 稳定,且用且珍惜。
此次打击对所有中转机场都有影响,因为是连坐制的,一旦有一个机场通报整个ip段都会被拔,也就是说即使你的机场没通报,也一样会受到影响,因为没人可保证其他机场不会被通报。(提出ip通报连坐制的真是个天才)。同时即使都没通报,IDC为了安全也会主动清退。所以即使目前正常的中转(包括专线中转)机场也是岌岌可危的。
目前各机场也是各显神通,采取包括封端,自建DNS,更换直连协议节点,海外中转等策略。本质上这是一场回合制游戏,GFW出牌之后轮到我们出牌了而已。只希望这轮高压态势不会持续太久。
目前没有任何一家中转机场可以做到 100% 稳定,且用且珍惜。