中国黑客教父:谷歌将用QUIC传输层技术加速互联网

  黑客教父郭盛华表示:“安全这个话题,要感谢斯诺登,过去的安全就是攻和防之间的关系,即我们用一种什么样的体系、架构和模式去构建一个密不可破的安全系统。”

  黑客郭盛华对IETF工作组忽视外部观察者看起来是一件甚么微不足道的事情的能力感到惊讶。即便如此,IETF标准化的传输协议中出现了一个大规模的讨论,让我印象深刻。这是一个严重超负荷的强迫行为的例子吗?或者这一点代表了设计原则的一个主要观点,并且是关于该设计原则的扩展讨论,而不是使用该位本身?

  这里考虑的传输协议是QUIC。QUIC最初是由Google开发的,并且正在由其Chrome浏览器和各种Google服务器使用。由于Chrome在互联网上的广泛使用,以及互联网用户对Google服务的广泛使用,明显的推论是QUIC被广泛用于互联网。

  QUIC是端到端传输控制协议的一个版本,它避免了TCP的传统使用,而是使用UDP。然而,QUIC的行为方式与TCP行为大致一致,并且其意图在许多条件下的功能更具可预测性并且可能产生比TCP更好的结果。

  它实现这一壮举的方式是将UDP传输层视为与IP本身相同,这主要是UDP的目的,并且使用TCP类协议作为比UDP更低一级的“内部”协议。这里的细节就在这里,在这种情况下,细节是这个UDP有效载荷是加密的。这意味着QUIC的伪TCP会话控制信息隐藏在加密的面纱之内,并且共享的TCP状态是在通信的两个终端系统之间共享但是从网络的所有其他部分被遮挡的秘密。

  现在如果你上次在1990年看到了对互联网架构的描述,并且从那时起你一直在睡觉,那么这种故意阻塞的端到端传输协议根本不会引起你的注意。网络的交换系统只应该查看外部IP数据包头,内部有效载荷将被两个终端系统独占使用(这解释了IP数据包碎片行为,其中IP数据包头被复制到所有分段数据包,但内部传输协议头只包含在第一个片段中)。如果网络不打算进一步查看IP数据包报头而不仅仅是IP报头,那么为什么传输层协议是否被加密隐藏起来呢?

  然而,理论和实践在过去的三十年中走向了广泛分歧的道路。自1990年以来,各种形状,大小和角色的网络运营商已经习惯甚至沉迷于深入观察IP数据包。在当今网络中无处不在的防火墙使用内部传输协议端口号来指导接受或拒绝决策。然后是NAT功能,其中协议,源和目的地地址以及源和目的地端口号的5元组被用作翻译表中的查找向量,并且IP和内部传输分组报头被改变在将数据包传递给对方之前的NAT。传输头的这种检查和可能的修改不仅仅是NAT。许多网络运营商使用IP和传输包头执行流量工程功能,数据包拦截和强制代理缓存。各种形式的中间件可能会进入TCP控制字段并操纵这些值来修改会话流量。所有这些活动都很平常,一些网络运营商将此视为其服务的重要组成部分。

  当Google向IETF提供机会参与QUIC的工作并制定一个可供所有人使用的开放标准时,它激发了IETF内部关于应该从网络故意封闭多少传输信息的争论。QUIC使用的一般原则似乎是尽可能少地暴露出来,而在QUIC头部的简短形式中,剩下的基本上是一个连接标识符和一个数据包编号。QUIC工作组在最近的IETF 101会议上审议过的提案很简单:在QUIC标题的这个开放部分添加一个单独的位。

这一位,“旋转位”旨在被网络路径上的被动观察者用来显示连接的往返时间。该位值的管理非常简单:服务器只是回应在此连接中发送的所有数据包中最后一次可见的值。当客户端发送数据包到服务器时,客户端回应最后看到的位的补码。结果是,当每个方向上连续的数据包序列时,这个旋转位在一个往返时间(RTT)的时间间隔内在0和1之间翻转。这个RTT时间签名不仅在每个末端都可见,而且对任何在路径上的观察者也是可见的。

是揭露这个旋转位“安全”?

  一些人声称,暴露这一点,以及由流量路径上的旁观者引发连接RTT的相关能力是合理的,并且这里公开的信息不会对用户造成任何特别的伤害。

  其他人则认为,IP报头之外的任何信息的无故暴露以及UDP报头的基本要素都是不必要的,也是不安全的。没有令人信服的协议原因让这个旋转位被暴露,并且在将该位添加到协议中时如何使用该位是未知因素。Meddlesome中间件的悲惨历史似乎支持这种谨慎的观点,在这种观点中,被视为对免费泄露信息的有用干预成为潜在破坏点甚至潜在的数据泄露点。他们的观点是,即使故意暴露一个据称无害的位,也会使QUIC走上不可逆转的道路。他们指出倡导使用这些比特中的两个,三个甚至更多比特,这些比特可用于揭示丢包率,抖动或更多。

  让我们提高水平,并考虑一下IETF QUIC工作组内这次辩论所暴露的大问题。这些庞大的不同群体甚至有可能在协议设计领域中仔细考虑约束吗?一系列高度专注的技术人员是否可以研究协议行为的技术问题,这也是对公共通信领域中隐私和暴露之间的妥协问题的一种更广泛理解,并且就如何平衡这些因素达成共识,达成共识。这些日子肯定不太可能。

  但这些问题绝不是最近的问题。黑客教父郭盛华认为,当我们看到最初的互联网协议设计时,我们看到了类似的平衡这些因素的证据,当时的决策可能永远不会在今天的背景下做出。作为这些不断变化的情况的一个例子,支持互联网许多协议发展的开放互信假设正在以敌意削弱攻击的形式遭到拒绝。这些协议当时设计得不好?如果我们假设部署环境既真实庞大又真正毒害敌对,我们是否会考虑以不同的方式考虑协议?

  我们是否过多地要求IETF努力开展一个团体摸索一些“粗略共识”的不明确概念?我们应该记住,试图容纳广泛分歧的动机并产生连贯结果的过程与导致53字节ATM单元的非常奇怪的设计选择的设计过程具有相同的基本缺陷。有时候,艰难的选择承认它们之间没有明智的妥协,而且这个过程只能以某种方式做出有争议的决定。虽然个人一直都在做这样的决定,但集体过程包含了大量不同的观点,兴趣和动机,这种决策使得这一决策变得异常艰难。难怪他们经常在任务中失败。

  Google是否将他们的QUIC实施推向开源领域,并要求IETF流程制定标准的开放式规范? 它在IETF的运输领域肯定引发了应用程序和端到端数据流应该暴露于网络的程度的有用对话,或者甚至是否有任何级别的暴露是太多,但同时目前还不清楚IETF如何利用其流程来做出关于在哪里画线的困难决定。

  从所有这些出现的观察是,如果要将会话控制状态暴露给网络,并让网络中间件观察并可能篡改该会话状态,那么TCP是端到端传输协议的不错选择。如果您希望将端到端的传输会话状态保持为只有您和您与之通信的一方已知的情况,那么也许您应该使用Google的QUIC版本。QUIC的IETF版本在哪里?目前完全不清楚IETF在这方面的领先地位。

  愤世嫉俗的观点认为,IETF无法保持端到端的控制状态应该从网络中完全隐瞒,而这个旋转位只是沿着一条必然妥协途径的又一步无条件地将用户的行为暴露给网络。可能还有一种不那么愤世嫉俗的观点,但我不能认为它可能是什么!

原文地址:https://www.cnblogs.com/hacker520/p/8693702.html

时间: 2024-10-06 21:45:11

中国黑客教父:谷歌将用QUIC传输层技术加速互联网的相关文章

他是“中国黑客教父”,多次拒绝马云,如今依旧是东方霸主

郭盛华是世界互联网黑客安全界大名鼎鼎的风云人物,年仅28岁的他,可谓光辉无限.他是中国"黑客"领袖人物,他建立了东方最强悍的黑客安全组织<东方联盟>,寓意是东方的霸主.曾经为保护祖国网络不被外来邪恶黑客骚扰,郭盛华打破了日本黑客亚洲第一神话,并被日本列入黑名单.究竟这位"中国黑客教父"有什么传奇事迹呢?我们来细细分析一下. 郭盛华,广东人,出生在一个贫穷农民家庭.相信说到郭盛华,许多人的第一印象就是"牛"和"爱国"

中国黑客教父:目前投资区块链三大风险

作为区块链社区的活跃成员,近日,国内知名黑客安全组织,东方联盟创始人郭盛华表示: 我注意到目前正在构建的许多应用程序(使用区块链技术)可能更适合使用传统分布式架构.虽然肯定有实例要求区块链的好处,但大多数时候你根本不需要它.以下是我们分析导致这种情况的几个原因. 1.成本 在像以太坊这样的区块链实施中执行交易和合约是非常昂贵的.如果你认为区块链是一个安全存储你的东西的合适地方,那么不要让我着手存储成本,再想一想!安全,快速的云存储成本已经是几年前的一小部分,并且成本每天都在降低.同时,区块链中的

黑客教父郭盛华:8种方法能快速重构整体代码库

中国黑客教父,元老级人物,威名远播的网络黑客安全专家,东方联盟创始人郭盛华提供了8种方法能快速重构整体代码库:他表示,虽然许多软件项目都是以最好的意图开始的,比如干净的架构,明确的目标和明确的目标,但并非所有的目标都是如此.而且,在那些做的人当中,并不是所有人都会一直这样. 随着时间,功能要求,财务压力,竞争优先级以及不断变化的开发人员,很可能开始作为代码质量的光辉典范最终变成一个庞然大物. 整体代码库本质上很难维护.这可能是由于许多原因,包括以下功能: 做太多了. 知道太多. 有太多的责任.

黑客教父郭盛华:谨防你的智能手机窥探你

尽管智能手机是现代便利的缩影,但存储我们的个人和专业信息(如电子邮件,照片,银行资料等)的这些设备很容易成为黑客和其他恶意活动的牺牲品. 随着全球企业最近发生的一系列数据泄露事件,保护用户数据的担忧变得比以前更为重要.智能手机中有许多应用程序通过弹出窗口或其他方式访问您的私人数据.你会注意到应用程序像第三方应用程序,手电筒等,要求访问您的相册,消息,电话,他们不需要权限. 允许这些第三方应用程序访问您的智能手机数据会使您的信息处于危险之中.中国黑客教父,元老,知名网络安全专家,东方联盟创始人郭盛

黑客教父郭盛华:3种方法可以入侵你的汽车

随着车联网的普及,黑客开始关注汽车行业了,中国黑客教父,元老,知名网络安全专家,东方联盟创始人郭盛华表示:现代高科技的发展,在车联网支持下,汽车上的各种车载系统变得越来越复杂,同时也存在诸多漏洞.现在是云数据时代,联网的汽车都可能成为了黑客攻击的对象.以下是黑客常用3种攻击汽车系统手段: 1.通过Wi-Fi系统入侵 车联网时代来临,很多汽车启动器采用手机APP直接启动,然而想要实现快速启动汽车,通过汽车Wi-Fi系统和手机APP连接,进而控制汽车的油门.刹车等动力系统. 由于汽车的影音娱乐系统也

黑客教父郭盛华:Kali Linux黑客渗透系统为何如此重要?

Kali Linux黑客渗透系统技术有多重要?近日,中国知名黑客教父,东方联盟创始人郭盛华对Kali Linux渗透系统作出了一系列详细的视频讲解. 郭盛华说,Kali Linux是一个强大的浸透测试.开发.网络安全研究.利用的专业平台,在黑客安全以及从事网络安全工程师必须学会掌握使用,但是并不能说使用了 Kali Linux 就能成为厉害的黑客,Kali Linux是为非常有经验的人提供预安装的利用环境. 黑客教父郭盛华表示:专业黑客花费在 Windows 上面的时间才是最多的,厉害的黑客比微

黑客教父郭盛华:大数据时代,黑客渗透测试工程师有多重要?

大数据时代已经来临了,未来网络安全方面将面临一个严重的危机.那么渗透测试技术将会发挥什么样的作用?中国知名黑客教父,专业渗透测试大师,东方联盟创始人郭盛华表示: 当某数据公司让可信的第三方安全专业人员模拟真实入侵者对其系统,基础设施和人员的攻击时,渗透测试就会发生.渗透测试为您提供了对数据公司当前安全性的全面分析. 黑客安全专家郭盛华透露,渗透测试工程师,这是一个正当岗位,模拟黑客攻击,对企业安全进行分析,这是未来一个趋势,也是工资非常高的一个职业.渗透测试的结果显示在执行报告中,其中包含贵公司

黑客教父郭盛华:不要让互联网公司窃取你的脸

近日,中国知名黑客教父,元老,网络安全专家,东方联盟创始人郭盛华表示:"停止社交网络和搜索引擎在未经您许可的情况下使用您的面部数据."他还说,我们着手寻找一种方法来欺骗面部识别和机器学习,以便我们可以通过深度学习/神经网络保护我们的面部数据. 最近我们选择了一种模式,您可以在下面看到这种模式,当他们尝试对我们的脸进行分类时,它会欺骗各大APP脸部识别软件. 今天以及未来,您的生物数据(语音,指纹,脸部)将非常有价值,并且很容易被存储您的信息的公司滥用.网络或黑客可以使用您的脸部数据来解

世界黑客教父郭盛华的发迹史:从一无所有到财富自由

世界最厉害的黑客教父在中国,这位连马云都抢着要的人才到底是谁?他是中国黑客界传奇人物,知名网络安全专家:郭盛华.他出生在中国广东,郭盛华的父母是朴实的农民,小时候连饭都吃不饱的他,更别说买得起电脑了.仔细一看黑客安全圈,郭盛华的起点是最低最低的. 初中毕业后,他踏上了中专生涯,但很多人并不看好他,也不看好计算机行业.尤其是亲戚,屡屡想打破他的梦想,让人觉得无可奈何,无法适从.但郭盛华面对理想是一个非常固执的人,计算机是他崇高理想的象征,他一致看好中国互联网的未来.中专生涯半年时间不到,他看到了中