QUIC — это протокол, разработанный Google для ускорения и повышения эффективности сетевой связи. Он представляет собой стремление к повышению производительности сети и направлен на обеспечение лучшего пользовательского опыта, но в то же время QUIC также создает ряд проблем сетевой безопасности и мониторинга.

В современном цифровом мире скорость сети решает все. Google усердно работает над повышением эффективности и производительности сети, и протокол QUIC является частью этой миссии. Однако с широким распространением QUIC возникли некоторые проблемы безопасности, что вызывает серьезные опасения по поводу сетевой безопасности и наблюдения. Особую озабоченность вызывает тот факт, что большинство традиционных межсетевых экранов и сетевого оборудования неспособны эффективно обрабатывать трафик QUIC, создавая слабое звено в сетевой безопасности.

В этой статье мы подробно рассмотрим, как работает QUIC и как он может повысить производительность сети. В то же время мы рассмотрим влияние QUIC на сетевую безопасность и мониторинг, а также способы решения проблем, связанных с QUIC, чтобы гарантировать, что сети остаются безопасными и надежными. В эпоху цифровых технологий мы должны найти баланс между скоростью и безопасностью, и появление протокола QUIC заставит нас переосмыслить этот баланс.

1. Предыстория

Истоки протокола QUIC можно проследить до эксперимента Google gQUIC, который изначально был разработан для дальнейшего улучшения производительности HTTP/2 и распространения этой производительности на уровень безопасности и транспортный уровень сети. Этот эксперимент представляет собой смелую и похвальную попытку, поскольку его цель — заменить традиционный протокол HTTP. В 2013 году первая часть gQUIC начала передавать данные в реальном времени между серверами Google и браузером Chrome. Google передает трафик в режиме реального времени от различных сервисов Google клиенту Chrome через протокол gQUIC, и внедрение gQUIC постепенно растет по мере того, как сервисы Google получают от него выгоду.

Данные этого раннего эксперимента позже оказались важными при проектировании и разработке протокола QUIC. Однако стоит отметить, что ранние эксперименты с gQUIC включали два ключевых технических компонента, которые позже были удалены в ходе итераций:

1. Прямое исправление ошибок (FEC): Эта функция изначально использовала проверку четностиизплан,Но у него проблемы с гибкостью и реализуемостью.,Таким образом, различные потребности не могут быть удовлетворены. Схема проверки четности признана неэффективной,Стоимость обслуживания этой функции намного превышает ее потенциальную выгоду.
2. Энтропия ACK: Эта функция предназначена для защиты отправителя от ACK Последствия спуфинг-атак. Поскольку весь трафик зашифрован, любой ACK Информация должна быть отправлена ​​соединяющейся стороной. Однако позже его удалили ACK энтропийная функция,Поскольку влияние атак, которые он предотвращает, относительно ограничено,И представляет проблему сложного кода и уровня протокола.

Удаление этих двух функций отражает преждевременную оптимизацию конструкции протокола. По мере развития протокола эти функции стали бременем для обслуживания и были удалены, когда затраты на обслуживание превысили потенциальные выгоды.

2. Что такое QUIC?

QUIC (Quick UDP Internet Connections) — протокол, разработанный Google для повышения скорости и надежности сетевых подключений. Он призван заменить протокол управления передачей (TCP), используемый в текущей инфраструктуре Интернета, и построен на основе протокола пользовательских дейтаграмм (UDP).

QUIC использует технологию шифрования и мультиплексирования для обеспечения более высокой безопасности и более высокой скорости передачи данных. Это позволяет передавать несколько потоков данных по одному соединению, тем самым уменьшая задержку и увеличивая пропускную способность данных. Кроме того, QUIC также включает в себя такие функции, как контроль перегрузки и управление потоком данных для управления перегрузкой сети и обеспечения плавной передачи данных.

Инженерная группа Интернета (IETF) в настоящее время стандартизирует QUIC, и основные веб-браузеры и серверы постепенно внедряют этот протокол. Доказано, что по сравнению с традиционным протоколом TCP QUIC значительно сокращает время загрузки веб-страниц и уменьшает проблемы с отключением соединения, особенно в сетевых средах с высокой задержкой и нестабильной работой, таких как мобильные сети. QUIC был разработан для дальнейшего повышения производительности и безопасности интернет-подключений.

Как видно из картинки выше:

QUIC = HTTP/2 + TLS + UDP

и

UDP + QUIC = транспортный уровень

QUIC, вам просто нужно запомнить два ядра: использование транспортного уровня UDP и использование TLS. 1.3 Соглашение Использование транспортного уровня UDP: QUIC использоватьUDP（пользовательданныегазетапротокол）кактранспортный уровеньпротокол,По сравнению с традиционным изTCP,UDP уменьшает задержку соединения. TCP необходимо пройти три рукопожатия, чтобы установить соединение.,Это вводит 1 время прохождения туда и обратно (1-RTT) из-за задержки. В сравнении,QUICизUDPтранспортный уровень Сократите этот процесс рукопожатия,Сокращено время на построение соединения. Это помогает повысить эффективность общения,особеннода Для тех, у кого более высокие требования к задержкеизприложение。 Используйте TLS 1.3 Соглашение： QUIC интегрирует последнюю версию протокола TLS (Transport Layer Security), известного как TLS. 1.3。TLS 1.3 имеет улучшенные функции безопасности, одной из примечательных функций является поддержка рукопожатия 1-RTT и 0-RTT. Традиционное рукопожатие изTLS требует нескольких циклов передачи данных (RTT), и протокол QUICпроходитTLS. 1.3 Позволяет клиентам отправлять данные приложения до завершения подтверждения TLS. Это означает, что 1-RTT требуется при первом рукопожатии, но после этого подключенный клиент может использовать кэшированную информацию для быстрого возобновления соединения TLS с помощью всего лишь 0-1. РТТ. Это значительно сокращает время, необходимое для установления соединения, позволяя передавать данные быстрее, особенно в случае дублирующихся соединений.

Анализ трафика HTTPS TLS и захвата пакетов QUIC

3. История развития QUIC

2012: Предложение QUIC

Протокол QUIC был впервые предложен Google в 2012 году. Его первоначальная цель — улучшить производительность интернет-коммуникаций, особенно скорость загрузки веб-страниц, за счет уменьшения таких проблем, как задержки установления связи в традиционном протоколе TCP.

2016: IETF начинает стандартизировать QUIC.

В 2016 году Инженерная группа Интернета (IETF) приступила к официальной стандартизации протокола QUIC. Это знаменует собой вступление QUIC в более широкий открытый процесс стандартизации, направленный на обеспечение широкого внедрения и совместимости протокола.

2017: Внедрение gQUIC

В 2017 году Google разработала и внедрила первоначальную версию протокола QUIC под названием gQUIC. Это важная веха для QUIC, знаменующая его первоначальное применение и тестирование в реальной сетевой среде.

2021: выпущен RFC900 и официально стандартизирован QUIC.

Официальная стандартизированная версия протокола QUIC RFC900 будет выпущена в 2021 году. Выпуск этой стандартизированной версии подтверждает статус QUIC как нового протокола транспортного уровня, позволяющего применять и продвигать его в более широком диапазоне сетевых сред.

Итог: QUIC по сути построен на HTTP/2, но с более быстрым установлением соединения и мультиплексированием. Он предназначен для уменьшения задержки, повышения производительности и лучшей адаптации к современным сетям.

4. Основные функции протокола QUIC

К основным функциям протокола QUIC относятся:

1. Независимый логический поток: QUICдопускается в одномсоединять Передача нескольких логик параллельноданныепоток。каждыйданныепоток Вседа Независимое управлениеиз,Это означает, что задержки или перерывы в работе одного потока не повлияют на передачу других потоков. Это помогает повысить эффективность сети,Особенно при обработке нескольких запросов и ответов.
2. Постоянная безопасность: QUIC обеспечивает сквозную безопасность, а все данные при передаче шифруются. По умолчанию QUICИспользуйте TLS 1.3 Обеспечить безопасность и обеспечить конфиденциальность и целостность. Это помогает защитить коммуникации от подслушивания и взлома.
3. Низкая задержка: QUIC предназначен для уменьшения задержек связи. Он использует быстрое соединение Установленный процесс сокращает время установления связи, а также использует мультиплексирование и быструю повторную передачу, а также другие механизмы, уменьшающие задержку передачи данных. Это для в реальном времениприложениеи Важно сократить время загрузки страницы。
4. надежность: QUIC обеспечивает надежную передачу,Обеспечить полноту и точность данных. Имеет механизм восстановления и повторной передачи при потере пакетов.,Чтобы справиться с ситуацией, когда изданные изделия могут быть потеряны или повреждены в сети. Это помогает предотвратить повреждение и потерю данных.
5. Избегайте блокировки HOL (заголовка линии): QUICпроходить Разрешить несколькоданныепотоксуществоватьодинокийсоединятьнезависимостьпередача инфекции,Решена проблема блокировки HOL. Это означает, что даже если в одном потоке данных возникнет проблема,Другие потоки данных по-прежнему могут продолжать передаваться.,и это не повлияет. Это помогает повысить общую эффективность.

мультиплексирование

5. Основные функции протокола QUIC

Протокол QUIC содержит примерно три основные функции:

5.1 Установлено соединение 0-RTT

• 0-RTT：0 Round-Trip Time
• 0-RTT да QUIC Ключевая особенность протокола серединаиз, предназначенная для уменьшения количества соединений. установил время из задержки. Традиция TCP соединение требует трех рукопожатий (SYN, SYN-ACK, ACK) для установления соединения, и каждое время двустороннего обмена (Round-Trip Время, RTT) увеличит задержку. В некоторых случаях это может привести к ненужному времени ожидания.
• QUIC из 0-RTT Функция позволяет клиенту отправлять данные одновременно во время процесса инициализации соединения, не дожидаясь завершения квитирования. Этот дапроход содержит зашифрованную реализацию данных приложения при первом подключении. Такой подход позволяет отправлять данные сразу после установления соединения, что значительно снижает задержку первоначального запроса. Это очень важно для мобильных приложений и скорости загрузки веб-страниц. реальном Время Общение очень важно, поскольку оно ускоряет работу пользователя.

5.2 Мультиплексирование без блокировки начала линии

• Мультиплексирование QUIC Еще одна основная функция, предназначенная для решения традиционных HTTP/1.1 и HTTP/2 серединажитьсуществоватьизблокировка начала задать вопрос. По традиции из HTTP середина,Если запрос или ответ задерживается или теряется,Это заблокирует последующую обработку запроса.,Из-за этого страница загружается медленнее.
• QUIC позволяет передавать несколько логических потоков данных параллельно с помощью одного соединения. Каждый поток данных имеет свой собственный, независимый от контроля потока и приоритета.,Это означает, что задержки в одном потоке не повлияют на другие потоки. Это повышает эффективность сети,Позволяет быстро реагировать на несколько запросов,отиулучшенныйпользовательопыт。Это отлично подходит для современных веб-сайтов.、приложениеимультимедиапоток Режимпередача инфекцииочень важно。

блокировка начала строки

5.3 Однозначная повторная передача

• Однозначная повторная передачада QUIC из Важные особенности,Используется для обеспечения надежной передачи данныхиз. В нестабильной среде,Пакет данных может быть утерян или поврежден.,Поэтому необходим механизм восстановления утерянных данных без введения дублирующихся данных.
• QUIC использует серийные номера для уникальной идентификации пакетов данных.,И отправить подтверждение после того, как получатель получит пакет данных. Если отправитель не получил подтверждения,Он повторно отправит пакет данных.,Но ретранслироваться будут только потерянные изданные пакеты. Этот механизм обеспечивает надежную изданную передачу.,Никакие ненужные повторные передачи не будут введены.,Эффективность улучшена с и.
• Кроме того, QUIC также поддерживает контроль перегрузки.,Он может регулировать скорость отправки пакетов данных в соответствии с состоянием сети.,Чтобы избежать перегрузки сети. Это помогает поддерживать стабильность.

6. Пакет данных QUIC

Пакеты данных QUIC состоят из двух основных частей: заголовка (Header) и данных (Data).

Ниже приведено подробное описание этих двух частей:

6.1 Заголовок

• Флаги: Бит флага используется для указания типа пакета данных, состояния и другой соответствующей информации. Различные комбинации битов флага из могут представлять разные типы изданных пакетов.,Например,да Нет да Первоначальный запрос на подключение, пакет данных да Нет требует подтверждения и т.д.
• Идентификатор соединения: идентификатор соединения используется для уникальной идентификации соединения. IT да IN QUIC Соединение из формируется при определении и остается неизменным на протяжении всего периода соединения.
• Версия: Номер версии указывает версию протокола QUIC. Это делается для того, чтобы гарантировать, что обе взаимодействующие стороны используют одну и ту же версию для обеспечения совместимости.
• Номер пакета: Номер пакета указывает порядок соединения пакета данных. Каждый пакет данных имеет уникальный номер пакета, который используется для сортировки и повторной сборки пакета данных на принимающей стороне.

6.2 Данные

• Часть данных обычно разбивается на несколько небольших изданных кадров (Frame). Каждый кадр данных имеет следующие свойства:
• Тип: данныерамкаизтипопределил этоизиспользовать,НапримерPINGрамка、ACK-кадр、Кадр RESET_STREAM и т. д.
• Длина: Поле длины указывает размер кадра данных, чтобы принимающая сторона знала, сколько данных нужно получить.
• Полезная нагрузка: Полезная нагрузка содержит актуальный изданный контент.

6.3 Некоторые распространенные типы кадров данных

1. ПИН-фрейм: Для тестирования совместимости юзабилити. Кадр PING не содержит полезных данных, он используется только для подтверждения активности соединения.
2. Кадр подтверждения: Используется для подтверждения получения изданной посылки. Он содержит информацию о полученных изданных пакетах для обеспечения надежной передачи данных.
3. Кадр RESET_STREAM: Используется для сброса статуса определенного потока данных. Кадр RESET_STREAM можно использовать, когда поток данных необходимо прервать или перезапустить.
4. STOP_SENDING кадр: Используется для остановки отправки данных в определенный изданный поток. Это можно использовать для приостановки передачи данных или обработки исключений.
5. КРИПТО-фрейм: Для шифрования передачи данных. В QUIC шифрование обычно находится в разделе «Соединение». Установленный процесс, кадры CRYPTO используются для передачи шифрования данных прикладного уровня по установленной изоединице.
6. ПОТОКОВЫЙ кадр: используется дляпередача инфекцииобычноданныепоток。STREAMрамка Может Сумка Содержит прикладной уровеньданные,Для двусторонней связи по соединению,Поддерживается мультиплексирование.

7. Преимущества протокола QUIC

7.1 Сократите время подключения

Протокол QUICпроходить однократное рукопожатие для замены традиционного рукопожатия изTCPиTLS,оти Значительно уменьшает накоплениесоединятьнеобходимыйизвремя。Пара нуждалась в быстром онлайн-сервисеизприложениеи Сервис очень важен。

7.2 Обработка потери пакетов

При использовании HTTP/2 через TCP,может зависеть от блокирующей строки,Это означает, что потеря пакета данных приведет к блокировке последующих пакетов данных. QUIC решает эту проблему, позволяя потокам данных независимо достигать пунктов назначения.,Повышенная надежность.

7.3 Стабильное соединение

QUIC поддерживает миграцию,Позволяет соединятьиз сохранять стабильность при изменениях в сети. Даже если IP-адрес изменится,Также возможно восстановить соединение,и Нет необходимости полностью восстанавливать соединение.

7.4 Гибкость и простота разработки

QUICпротоколсуществоватьприложениереализация уровня,Нет в ядре операционной системы,Это делает его более гибким и простым в улучшении и развитии. Разработчикам будет проще контролировать и настраивать поведение протоколов.

8. Недостатки протокола QUIC

8.1 Повышенная уязвимость к атакам

Протокол QUIC более уязвим к распределенным атакам типа «отказ в обслуживании» (DDoS) и угрозам. Потому что это даниктосоединятьиз,Нет необходимости в трехстороннем рукопожатии, таком как TCP.,Злоумышленникам легче запускать атаки отражения и усиления.,этот подделывает исходные IP-адреса для затопления целевых серверов,Сделайте его недоступным. Отсутствие QUIC затрудняет контроль трафика и доступа.,Это увеличивает вероятность DDoS-атак.

8.2 Проблемы совместимости

QUICпротокол относительно новый.,Может быть несовместимо с некоторыми старыми устройствами, сетевыми устройствами или брандмауэрами. Некоторые приложения требуют точного контроля над поведением,iQUICиз Новые функции могут применяться не во всех случаях использования. поэтому,При развертывании QUIC,Необходимо учитывать существующую инфраструктуру и оборудование из-за проблем совместимости.

8.3 Низкая скорость передачи

Хотя QUIC предназначен для обеспечения более быстрой и эффективной передачи данных, на скорость его передачи могут влиять механизмы шифрования и аутентификации. QUIC добавляет дополнительные издержки при передаче пакетов, что может привести к снижению скорости передачи небольших пакетов, особенно в сетях с высокой задержкой.

8.4 Трудности устранения неполадок

Устранение неполадок сети с помощью QUIC может быть более сложным, чем с TCP. Из-за возможностей шифрования и аутентификации QUIC для диагностики проблем, связанных с потерей пакетов, перегрузкой сети или проблемами производительности, могут потребоваться более совершенные инструменты и опыт мониторинга сети. Устранение проблемы может усложниться, поскольку содержимое пакета и трафик могут быть не видны.

8.5 Необходимо быть в курсе событий

QUIC все еще находится на стадии постоянного развития и эволюции, поэтому могут возникать изменения и обновления спецификаций протокола. Организациям, использующим QUIC, необходимо быть в курсе последних разработок и обновлений, чтобы гарантировать, что реализации протокола всегда актуальны для оптимальной производительности и безопасности.

9. Сценарии применения протокола QUIC

9.1 Веб-приложения и мобильные приложения, работающие в режиме реального времени

Приложения для связи в реальном времени, такие как видеозвонки, голосовой чат и обмен мгновенными сообщениями, требуют низкой задержки и надежной передачи данных. QUIC обеспечивает быструю и эффективную передачу данных посредством независимых механизмов контроля потока и перегрузки, что подходит для этих приложений.

9.2 Связь с устройствами Интернета вещей

Устройства Интернета вещей часто работают в ограниченных сетевых средах, и использование транспортных протоколов, таких как TCP или MQTT, может привести к высокой задержке и потере пакетов. QUIC хорошо работает в условиях сети с высокой задержкой и потерей пакетов, что делает его пригодным для связи с устройствами Интернета вещей, обеспечивая надежную и эффективную альтернативу.

9.3 Интернет транспортных средств и подключенные автомобили

Экосистема подключенных автомобилей требует обмена данными в реальном времени для обеспечения отслеживания транспортных средств, управления дорожным движением и обеспечения безопасности. Возможности QUIC с низкой задержкой, мультиплексированием и восстановлением пакетов помогают обеспечить надежную связь между транспортными средствами и инфраструктурой и повысить производительность подключенных автомобильных систем.

9.4 Облачные вычисления

облачные процедуры включают в себя доставку через Интернет вычислительных ресурсов. QUIC может обеспечить низкую задержку и сквозное шифрование.,отиулучшить облакоприложениеизпользовательопытибезопасность。

9.5 Приложения для платежей и электронной коммерции

Приложения для оплаты и электронной Коммерции необходимы безопасные и надежные изданные передачи для защиты конфиденциальной информации пользователей. QUICпроходить Используйте TLSшифрованиеинадежныйизHTTP3поток,Обеспечивает более высокий уровень безопасности для этих приложений.,В то же время улучшается пользовательский опыт.

10. Кто использует QUIC?

Протокол QUIC (Quick UDP Internet Connection), как универсальный транспортный протокол, постепенно меняет способ осуществления интернет-коммуникаций. Хотя его можно использовать в различных рабочих процессах в Интернете, одной из наиболее заметных областей внедрения на данный момент является просмотр веб-страниц на основе HTTPS. Давайте посмотрим, кто использует QUIC и его внедрение.

10.1 Протокол QUIC и просмотр веб-страниц

Одно из наиболее значимых приложений QUIC — дапроходить веб-просмотр в QUIC для реализации HTTPS на основе изоединять. Однако,Чтобы использовать QUIC,И клиент, и сервер должны поддерживать этот протокол. Это может создать некоторые препятствия для широкого внедрения.,Потому что в настоящее время лишь несколько веб-сайтов перешли на использование HTTP/3.,иHTTP/3daQUICиз Преемника.

10.2 Основные последователи

Хотя внедрение QUIC все еще растет, некоторые крупные интернет-гиганты уже начали применять этот протокол. Вот некоторые основные пользователи QUIC:

1. Google： какQUICиз Создатель,Google да была одной из первых крупных компаний, принявших протоколизм. В экосистеме Google,Включая серверы, приложения, сервисы и клиенты,QUICиз Относительно легко развернуть。Например,Google перевел 30% трафика своей видеоплатформы YouTube на QUIC.

1. Facebook： Facebookпревысил75%изпоток Количество перенесено вQUIC。FacebookиInstagramиздвигатьсяприложение Также в полной мере использовалQUICизпроизводительность Преимущества。

1. Майкрософт: Несмотря на относительно низкий уровень внедрения Microsoft,Но компания рассматривает возможность переключения своего VPN-предложения с TCP на QUIC.,Это показывает, что Microsoft также активно изучает потенциал QUICиз.

10.3 Текущая экосистема

Экосистема поддержки QUIC постоянно растет и включает браузеры, приложения, серверы, CDN, веб-серверы, балансировщики нагрузки, проекты сообщества и языки программирования. Вот некоторые из ключевых компонентов, поддерживающих QUIC:

• Просматриватьустройство： в настоящий момент,Chrome да — единственный браузер, в котором QUICиз Просматривать включен по умолчанию.,Edge, Firefox, Safariи другие. Просматривать обычно по умолчанию используют TCP.,Но QUIC предоставляется как опция.
• приложение: Googleиздвигатьсяприложение,Такие как GmailиYouTube,Как и Facebook из приложений начали использовать QUIC. также,Убер такжесуществовать Чтоприложениесерединаиспользовать ПонятноQUIC。
• Сервер/CDN: некоторые важныеиз Служитьустройствои Распространение контентасеть（CDN）,СумкавключатьAkamai、Microsoft、Apple、Google、Cloudflare、Fastly、CaddyиNetApp,QUIC уже поддерживается. Хотя некоторые из этих CDN все еще находятся на стадии проверки концепции.,Но внедрение QUICиз постепенно растет.
• Веб-сервер: Некоторые веб-серверы, такие как LiteSpeed, H2O, Nginx и Apache, также начали поддерживать QUIC.
• Балансировщик нагрузки: Поставщик балансировки нагрузки LiteSpeed ​​и F5 BIG-IP также имеет интегрированную поддержку QUIC.
• Общественные проекты: житьсуществоватьнекоторые общественные проекты,Например, на основе Chromium из libquicи, действующего как обратный прокси-сервер из образа Docker.,Они способствуют внедрению QUIC.
• язык программирования: Язык программирования Go (quic-go) и Quic.NET (C#) обеспечивает поддержку QUICиз, позволяя разработчикам легко использовать QUICпротокол.

Подводя итог этой статьи, преимущества протокола QUIC очевидны, но в настоящее время он не очень развит. Я надеюсь, что протокол QUIC будет становиться все более совершенным, более безопасным и все более широко используемым!

Рекомендовано в прошлом

Битва за виртуализацию: всестороннее сравнение NVGRE и VXLAN

Подключи и работай: как комбинированные порты коммутатора Ethernet меняют правила сетевого подключения?

Для аппаратных серверов лучше ли установить операционную систему Linux? Или операционная система Windows лучше?

Ключ к увеличению скорости сети: мощь кабелей Cat6

Три волшебных оружия для повышения доступности, производительности и масштабируемости сети: MLAG, стекирование, LACP