Попытка модернизации системы интернет-цензуры в Китае, известной как «Великий китайский файрвол» (Great Firewall of China, GFW), оказалась неудачной. Исследование, проведённое международной группой специалистов из Массачусетского университета, Стэнфорда, Колорадо и инициативы Great Firewall Report, выявило серьёзные уязвимости в обработке трафика по протоколу QUIC (Quick UDP Internet Connections). Эти проблемы не только ставят под угрозу эффективность цензуры, но и открывают возможности для дестабилизации всей системы фильтрации трафика в Китае.

Что такое QUIC и почему он важен?

QUIC — это современный сетевой протокол, разработанный Google в 2012 году. Он работает поверх UDP и обеспечивает более быструю передачу данных, чем традиционный TCP, а также интегрированное шифрование на уровне TLS. Сегодня QUIC используется более чем на 10% веб-ресурсов, включая ключевые сервисы Google и других крупных интернет-провайдеров.

Почему QUIC представляет угрозу для китайской цензуры?

В отличие от HTTPS (на базе TLS), где поле Server Name Indication (SNI) передаётся в открытом виде и может быть легко отфильтровано, протокол QUIC шифрует даже начальный рукопожатие-пакет — Client Initial. Это значительно усложняет задачу цензоров, так как для фильтрации необходимо сначала расшифровать каждый пакет, что увеличивает нагрузку на сеть и снижает стабильность блокировки.

Как Китай пытался бороться с QUIC?

С апреля 2024 года операторы китайского файрвола начали избирательно блокировать соединения QUIC. Однако, как отмечают эксперты, эти действия не были системными. В ходе анализа было установлено, что список доменов, попадающих под блокировку QUIC, на 40% меньше DNS-чёрного списка. Более того, значительное число доменов в списке вообще не поддерживают протокол QUIC, что ставит под сомнение точность и целесообразность применяемых фильтров.

Проблемы архитектуры и эффективность блокировки

Исследование показало, что блокирующие устройства QUIC размещены в той же сетевой инфраструктуре, что и остальная часть «Великого файрвола», и используют схожие принципы фильтрации. Однако в случае с QUIC они сталкиваются с так называемыми «особенностями парсинга» — системой приходится обрабатывать трафик, не подлежащий фильтрации, что приводит к избыточной нагрузке на оборудование.

Анализ, проведённый в трёх крупных городах — Пекине, Шанхае и Гуанчжоу, — выявил суточную динамику блокировок: наибольшая активность по фильтрации наблюдается в ранние утренние часы, после чего эффективность снижается в течение дня. Это говорит о нестабильности фильтрации и чувствительности системы к текущей нагрузке.

Возможность атак на доступность

Особый риск представляет собой возможность инициирования атаки на доступность. Путём отправки поддельных QUIC-пакетов извне можно вызвать реакцию цензора и заблокировать доступ к тем или иным DNS-резолверам. Это позволяет злоумышленникам умышленно запустить механизм цензуры, который китайские фильтры снимают только спустя несколько минут. Повторяя атаку, можно создать длительную недоступность ресурсов, включая иностранные корневые DNS-серверы. Это способно вызвать масштабные сбои в доменном разрешении для миллионов пользователей по всей стране.

Ограниченные меры противодействия

Авторы исследования отметили, что защита от подобных атак невозможна без полной переработки архитектуры фильтрации QUIC. Подмена UDP-пакетов — технически простая задача, и без точечной идентификации источников цензура становится уязвимой. Несмотря на то что в марте 2025 года китайские разработчики внесли частичные корректировки, угроза осталась.

Этический подход к раскрытию

Понимая потенциальные последствия своих открытий, исследователи ещё в январе 2025 года сообщили о найденных уязвимостях представителям китайской стороны. Однако ключевая информация, касающаяся возможности перегрузки цензурной инфраструктуры, была передана лишь активистским и экспертным сообществам, выступающим против цензуры, после чего была обнародована.

По словам авторов, такой подход был осознанным: «Раскрытие всех деталей китайским властям дало бы им преимущество в устранении уязвимости до того, как о ней узнают сообщества, борющиеся с интернет-цензурой. Наша цель — усилить глобальную осведомлённость, а не укреплять закрытые режимы».

Предыстория: уязвимость Wallbleed

Это не первая критическая уязвимость в структуре Великого китайского файрвола. В феврале 2025 года исследователи также раскрыли детали эксплуатации уязвимости Wallbleed, которая существовала с 2021 года. Она позволяла в течение нескольких секунд извлекать данные из памяти оборудования GFW, давая специалистам уникальную возможность изучить внутренние принципы работы этой закрытой системы.

Вывод

Проблемы, выявленные в системе фильтрации протокола QUIC, демонстрируют, что даже самые масштабные механизмы интернет-цензуры могут оказаться уязвимыми. Китайский «Золотой щит» уже не столь непроницаем, как считалось ранее. Стратегии обхода и целенаправленные сетевые атаки способны подорвать эффективность цензуры, а технологическая гонка между системами контроля и сообществами свободы слова продолжается.