中国的GFW防火墙升级适得其反——而这个故事比你想象的要大

[jingyue]

原文（英文）链接：（有图片），
https://techreport.com/news/software/chinas-great-firewall-upgrade-backfires-and-thats-a-bigger-story-than-you-think/

原文（英文）题目：
China's Great Firewall Upgrade Backfires – And That's a Bigger Story Than You Think

简体中文翻译文：
 
中国的防火墙升级适得其反——而这个故事比你想象的要大

发布时间:2025年8月6日

2025年10月23日

由 朱可娃

关键要点

    China's censorship system just got more complex and more fragile:中国的审查制度变得更加复杂和脆弱:对防火墙的一次重大升级增加了对QUIC流量的深度数据包检测,但新的研究表明,这使得系统变慢、更容易被绕过,且容易受到滥用。

    Spoofing the firewall is now possible: 现在可以屏蔽防火墙了:研究人员找到了一种方法,可以诱骗GFW阻止任何UDP流量,即使它是合法的。这种可用性攻击会影响云服务提供商,并揭示出审查之外的新风险。

    Circumvention tools adapt fast: 循环工具能够快速适应:Firefox、Quic-go 和 VPN 等开源项目已经推出了超过中国滤镜的更新,采用碎片化、虚假数据包和其他巧妙技巧。

    Design shortcuts reveal deeper flaws:设计快捷方式揭示了更深层次的缺陷:从跳过碎片化数据包到依赖基于端口的启发式方法,防火墙的规则暗示着一个急着扩展的系统,并可能在自身复杂性下崩溃。

多年来,中国防火长城(GFW)一直是地球上最强大的审查机制。

它是一种数字屏障,能够控制信息流入和传播出境的内容。

如今,旨在增强实力的升级技术已展现出设计师们可能未曾预料到的弱点。

一份在2025年美国国际消费电子展安全研讨会上发表的新研究论文,揭示了混乱局面的真相,以及这种混乱如何可能成为试图规避审查制度的人的机遇。

QUIC——北京方面未见该议定书

让我们稍微回顾一下。2021年,QUIC一种名为QUIC的新互联网协议被标准化。

由谷歌构建,后来被广泛采用,QUIC 支撑着 HTTP/3。它设计得快速、安全且难以处理。

传统 HTTPS 栈中的 QUIC。

Source: The QUIC Transport Protocol: Design and Internet-Scale Deployment
来源:QUIC传输协议:设计与互联网规模部署研究论文

这自然让像GFW这样的审查系统感到头疼。

QUIC 会加密浏览器与网站之间的第一个"hello"数据包。这使得审查人员更难查看您访问的网站。

使用 TLS 等较旧的协议,服务器名称标识(SNI)可见。QUIC 会改变这一点。

中国有两种选择:完全阻断QUIC,或学习如何窥视其中。他们选择了第二个。

升级适得其反

According to the researchers根据斯坦福大学、马萨诸塞大学阿默斯特分校、科罗拉多博尔德分校以及维权组织"防火墙报告"的研究人员的说法,中国于2024年4月左右开始实施针对QUIC的特定审查制度。

这不仅仅是一种粗略的"封锁一切"策略。GFW 开始解密 QUIC 握手数据包,以扫描 SNI 字段中的禁用域。

QUIC SNI 审查概述。

 Source: The QUIC Transport Protocol: Design and Internet-Scale Deployment
来源:QUIC传输协议:设计与互联网规模部署研究论文

如果发现匹配,防火墙会悄然阻塞所有流量几分钟。

这种情况在全国范围内实时发生。它雄心勃勃,而且确实奏效了。

但试图解密每一个QUIC连接都会产生严重的压力。GFW 有限制,而这次升级推动了它们。

防火墙现在必须使用来自每个数据包连接ID和特定版本的代码键,处理数百万个连接的加密操作。而且必须快速完成——在连接的其余部分开始之前。

为处理负载,GFW 会切断角。

它仅检查源端口高于目标的数据包,跳过碎片化的数据(Chrome 默认发送),并在随机数据包优先时忽略连接。

这些技巧既节省资源,又留下了空白。当交通拥堵时,防火墙开始落后。在高峰时段,由于无法跟上,它会错过更多的连接。阻塞可能会延迟几秒钟。

从纸面上看,升级可能看起来更智能,但一旦被推开,就更容易突破。

一种可以转动的工具

研究中最令人惊讶的部分是,这种审查制度可能会被劫持。

研究人员发现了一种欺骗少数特定QUIC数据包的方法,并将防火墙屏蔽在两台机器之间的任何UDP流量,即使两者均未造成任何问题。

这就像在欺骗机场安保人员,让你觉得朋友携带的是违禁物品。突然,他们被拉到一边,尽管他们从未得到过。

    我们发现,在32个EC2实例中,超过一半(17个)受到了严重攻击。

研究人员写道。

    尽管一些数据包仍然会通过,但对于受到严重影响的主机而言,这主要是由于剩余3分钟审查到期的时间所致。

最初作为控制信息流的方法,现在又会兼作潜在的攻击面。

其影响远远超出了审查范围。例如,攻击者可能会阻止对公共DNS服务器的访问,或破坏依赖UDP连接的金融系统。

它打开了切断中国部分互联网与世界其他地区的大门。不是通过黑客攻击,而是通过滥用防火墙自身的规则。

谁能用这个——以及为什么重要

到目前为止,大多数新闻报道都在谈论审查和规避问题。

但还有另一面值得深入探讨。如果有人想悄悄扰乱中国互联网流量,这个漏洞会为他们提供一个起点。

攻击者无需访问中国的系统,只需以正确的方式欺骗UDP流量即可。

这将重点从监控转向网络稳定性。这不再关乎言语了。这关乎这些控制在外部被推时有多么脆弱。

设计快捷方式正在展示

如果你曾经管理过一个充斥着过时规则和不明原因行为的混乱IT系统,你就会在这里认出这种模式。

GFW 仅查看源端口高于目标端口的数据包。

GFW在这一扩展端口范围内的阻隔行为。

Source: Exposing and Circumventing SNI-based QUIC Censorship of the Great Firewall of China
来源:基于SNI的QUIC审查中国防火长篇研究论文

这是因为大多数客户端使用大量等端端口,而服务器通常位于低数量端口(如443)上。

因此,系统会排出与这种模式不匹配的流量。

另一个捷径:GFW 不会重新组装分散的 QUIC 数据包。Chrome浏览器在2024年底开始默认进行碎片化。

这意味着中国的许多用户现在无需点击GFW滤波器即可连接,因为他们的数据包无法按照防火墙所理解的形式到达。

这些怪癖在很大程度上揭示了这一审查层可能仓促或资源受限的程度。

循环工具已经领先一步

这个故事最鼓舞人心的部分之一,就是开源世界适应的速度有多快。

Mozilla Firefox、quic-go 和 VPN 工具(包括 Hysteria、Sing-box 和 Xray)等项目几乎立即增加了解决方法。

Firefox 于 2025 年 4 月新增了一项功能,该功能以防火墙无法解析的方式分割了 SNI 字段。最初添加是出于其他原因,但事实证明,它滑过中国的滤网,完全没问题。

其他工具也增加了一些技巧,比如在握手前发送虚假数据包,或在连接中段的IP地址之间跳转。

将QUIC SNI规避的时间线集成到主要工具中。

Exposing and Circumventing SNI-based QUIC Censorship of the Great Firewall of China
揭露和循环利用基于SNI的QUIC中国防火长城审查研究论文

每一次调整都让GFW的生活变得更加艰难。

这是一个移动目标,而现在,目标似乎落后了一步。

帮助或不帮助防火墙的伦理

这里存在一个安静的伦理困境。研究人员联系了中国当局,并披露了他们发现中最危险的部分——可用性攻击。

显示受可用性攻击影响的地区向中国当局所披露的地图。

Source: Exposing and Circumventing SNI-based QUIC Censorship of the Great Firewall of China
来源:基于SNI的QUIC审查中国防火长篇研究论文

他们避免向防火墙运营商透露一些破坏性较小的漏洞,尤其是那些仅影响审查工具本身的漏洞。

他们之所以这样做,是因为帮助修复GFW,也可能有助于它更好地阻断自由沟通。团队做出了一个选择:保护用户,而不是审查他们的系统。

报告发布几周后,GFW停止了对外部防盗包的响应。

也许有人读了这份信息。也许这是巧合。无论哪种情况,这个问题在中国国内仍然悬而未决。

事情从这里走向何方

这项研究描绘出一幅比看上去更脆弱的审查制度。

GFW 仍然是一个强大的工具。但其复杂性正开始对它产生影响。使QUIC功能强大的相同功能——加密、灵活性、速度——也使得监管变得更加困难。

中国试图通过大规模破解加密数据包来跟上步伐。这在一定程度上奏效了,但却是有代价的。

现在,安全研究人员可以利用这些成本来发挥优势。他们可能会使用已内置于现代浏览器和开源工具中的技巧来压倒、混淆或绕过系统。

如今,一些巧妙的工程师正在测试已建成的防火墙,这些工程师仅配备几行代码和云服务器。

如果别的,这项研究证明,即使是最封闭的网络也能有开放的方式,尤其是当它们越界时。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

朱可娃

28篇文章 前科技与加密货币记者

安雅·朱科娃是Techreport公司的一名内部科技和加密货币撰稿人,拥有10年的实践经验,涵盖网络安全、消费科技、数字隐私和区块链领域。她以将复杂话题转化为清晰实用的建议而闻名,而普通人实际上可以理解并加以运用。MakeUseOfOnline Tech Tips她的作品曾被收录于包括MakeUseOf、在线科技技巧、Help Desk Geek、Switching to Mac以及Make Tech Easier在内的顶级数字刊物中。 无论她是在写最新的隐私工具,还是在看一台新笔记本电脑,她的目标始终不变:帮助读者自信,并掌控他们每天使用的技术。安雅拥有图拉州立大学教育大学的英语语言学和翻译学士学位,同时还在明尼苏达州立大学曼卡托分校学习过大众传媒学和新闻学。语言、媒体和科技的结合使她拥有了独特的视角,用以观察科技如何塑造我们的日常生活。多年来,她还学习了数据隐私、数字安全和道德写作方面的课程和研究——这些技能在处理PC硬件、系统漏洞和加密安全等敏感话题时都使用过。Anya 直接与 Insta360RedmagicInmotionSecretlabFramework、Insta360、Redmagic、Inmotion、Secretlab、Kodak 和 Anker 等品牌合作,在现实场景中对其产品进行了评测。 她的测试过程涉及现实世界中的使用场景——无论是针对创意工作负载对笔记本电脑进行压力测试,审视手机的电池性能,还是评估为混合工作区设计的家具的长期人体工学设计。在加密货币领域,Anya涵盖了从初学者指南到深入硬件钱包、去中心化金融协议和Web3工具等各种内容。她帮助读者了解如何使用多地址钱包、保护资产安全,并选择适合他们需求的平台。她的写作常常涉及财务自由和隐私——她坚信两件事应该掌握在每个人手中。 除了写作之外,安雅还致力于撰写专注于隐私和包容性的编辑风格指南,并指导新晋科技作家如何培养学科专长并负责任地写作。 她坚持高编辑标准,只推荐经过个人测试的产品,并始终致力于让读者全面了解情况。你可以在LinkedIn上找到她LinkedIn,她在那里分享更多关于她工作和项目的信息。 Key Areas of Expertise:专业领域:消费类科技(笔记本电脑、手机、可穿戴设备等)网络安全与数字隐私 PC/PC 硬件 区块链、加密钱包以及深度产品评测与购买指南:无论是查看新钱包还是对电脑构建进行基准测试,Anya 都能为所写内容带来好奇心、关怀和强烈责任感。她的任务?让数字世界对每个人都更加轻松、更安全。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

我们的编辑流程

Tech Report 的编辑政策旨在提供有用且准确的内容,为读者提供真正的价值。我们仅与在所涵盖主题方面具备特定知识的资深作家合作,包括技术、软件、硬件等领域的最新发展。我们的编辑政策确保每个主题都由内部编辑进行研究和策划。我们保持严格的新闻标准,每篇文章均由真实作者撰写。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～