关于今天的GFW问题
与上次两会期间的现象几乎一致。初步判断与协议关系不大,更有可能是从 IP 端口分布、流量大小、连接数等信息下手,针对的是隧道行为本身。同时也可以看出这种墙法是不可持续的,估计只会在特定政治敏感时段启用。
与上次两会期间的现象几乎一致。初步判断与协议关系不大,更有可能是从 IP 端口分布、流量大小、连接数等信息下手,针对的是隧道行为本身。同时也可以看出这种墙法是不可持续的,估计只会在特定政治敏感时段启用。
中国防火长城 (GFW) 已具备QUIC SNI审查能力
我们在 USENIX Security '25 会议上发表的最新研究报告揭示,中国的防火长城 (GFW) 自2024年4月起,已经可以检测加密的QUIC初始数据包,以进行基于服务器名称指示 (SNI) 的实时审查和域名屏蔽。我们的论文深入分析了其审查逻辑、逆向工程了其启发式解析规则,并揭示了其封锁名单。
这个新系统引入了两个严重的漏洞:
1️⃣ 降级攻击 (Degradation Attack): 我们提出了一种新型攻击方式,通过发送适量的精心构造的数据包,即可压垮审查设备,从而暂时性地降低GFW的审查效率。
2️⃣ 可用性攻击 (Availability Attack): 我们发现,任何人都可以利用GFW作为武器发动可用性攻击,从而借GFW之手,阻断中国与世界其他地区之间任意主机间的UDP通讯。
鉴于可用性攻击的严重性,我们遵循了“负责任的漏洞披露”原则,向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。
为了保护用户,我们已经与行业领导者合作,包括 Mozilla (Firefox & Neqo)、quic-go 项目以及所有主要的基于QUIC的翻墙工具的开发者,共同设计并部署了有效的缓解措施。
我们在 USENIX Security '25 会议上发表的最新研究报告揭示,中国的防火长城 (GFW) 自2024年4月起,已经可以检测加密的QUIC初始数据包,以进行基于服务器名称指示 (SNI) 的实时审查和域名屏蔽。我们的论文深入分析了其审查逻辑、逆向工程了其启发式解析规则,并揭示了其封锁名单。
这个新系统引入了两个严重的漏洞:
1️⃣ 降级攻击 (Degradation Attack): 我们提出了一种新型攻击方式,通过发送适量的精心构造的数据包,即可压垮审查设备,从而暂时性地降低GFW的审查效率。
2️⃣ 可用性攻击 (Availability Attack): 我们发现,任何人都可以利用GFW作为武器发动可用性攻击,从而借GFW之手,阻断中国与世界其他地区之间任意主机间的UDP通讯。
鉴于可用性攻击的严重性,我们遵循了“负责任的漏洞披露”原则,向中国国家互联网应急中心 (CNCERT) 及方滨兴本人通报了此漏洞。我们在论文中讨论了他们对此的反应。
为了保护用户,我们已经与行业领导者合作,包括 Mozilla (Firefox & Neqo)、quic-go 项目以及所有主要的基于QUIC的翻墙工具的开发者,共同设计并部署了有效的缓解措施。
👍6
photo_2025-08-26_20-59-10.jpg
124.3 KB
#Egern 又一个免费的IOS代理客户端
代理和MITM功能免费,高级功能收费。
支持协议:SS、Vmess、Trojan、Hy2、Vless、Vmess,暂时不支持reality
下载地址
代理和MITM功能免费,高级功能收费。
支持协议:SS、Vmess、Trojan、Hy2、Vless、Vmess,暂时不支持reality
下载地址
导入订阅方法:
点击下方【工具】--【代理】--选择添加策略组里面的【订阅】(如果没有重启下软件)
类型选【外部的】---【添加URL】--粘贴机场订阅--右上角【保存】
❤1