Cart is empty
QUIC là gì? Vì sao nhiều hệ thống mạng doanh nghiệp chặn giao thức QUIC
1. QUIC là gì?
QUIC (Quick UDP Internet Connections) là giao thức truyền tải hiện đại được thiết kế để cải thiện hiệu suất truy cập web. Giao thức này ban đầu được phát triển bởi Google và sau đó được chuẩn hóa bởi Internet Engineering Task Force (IETF) để trở thành nền tảng cho HTTP/3.
Khác với mô hình web truyền thống dựa trên TCP + TLS, QUIC hoạt động trên nền:
UDP port 443
Điểm đặc biệt của QUIC là kết hợp transport protocol và encryption trong cùng một giao thức, giúp giảm số bước handshake và cải thiện hiệu suất kết nối.
2. Kiến trúc hoạt động của QUIC
2.1 Mô hình truyền thống TCP + TLS
Trong các phiên bản web trước đây như HTTP/1.1 hoặc HTTP/2, dữ liệu được truyền theo mô hình:
HTTP │ TLS │ TCP │ IP
Trong mô hình này:
-
TCP chịu trách nhiệm truyền dữ liệu
-
TLS thực hiện mã hóa
-
HTTP là lớp ứng dụng
Mỗi lớp hoạt động độc lập, vì vậy việc thiết lập kết nối thường cần nhiều bước handshake.
2.2 Mô hình giao thức QUIC
Với QUIC, nhiều chức năng được tích hợp trực tiếp trong cùng một giao thức:
HTTP/3 │ QUIC │ UDP │ IP
Trong QUIC:
-
TLS 1.3 được tích hợp trực tiếp
-
transport và encryption hoạt động đồng thời
-
giảm đáng kể độ trễ khi thiết lập kết nối.
3. Các ưu điểm chính của QUIC
3.1 Giảm độ trễ thiết lập kết nối
QUIC hỗ trợ:
-
1-RTT handshake
-
0-RTT connection
Điều này cho phép client gửi dữ liệu nhanh hơn so với mô hình TCP + TLS truyền thống.
3.2 Khắc phục Head-of-Line Blocking
Trong TCP, nếu một packet bị mất, toàn bộ luồng dữ liệu phải chờ retransmission. Hiện tượng này được gọi là:
Head-of-Line Blocking
QUIC giải quyết vấn đề này bằng cách:
-
chia kết nối thành nhiều stream độc lập
-
packet loss của một stream không ảnh hưởng stream khác
Điều này giúp cải thiện hiệu suất khi tải nhiều tài nguyên web cùng lúc.
3.3 Hỗ trợ connection migration
Một ưu điểm đáng chú ý của QUIC là connection migration.
Thay vì gắn chặt kết nối với IP address, QUIC sử dụng Connection ID. Điều này cho phép:
-
chuyển từ WiFi sang 4G
-
thay đổi địa chỉ IP
mà không cần thiết lập lại toàn bộ session.
4. Các dịch vụ Internet đang sử dụng QUIC
Hiện nay nhiều dịch vụ Internet lớn đã hỗ trợ HTTP/3 dựa trên QUIC, ví dụ:
-
YouTube
-
Facebook
-
TikTok
Do đó trong nhiều mạng Internet hiện đại, một phần lớn lưu lượng web có thể sử dụng giao thức QUIC.
5. Vì sao nhiều hệ thống mạng doanh nghiệp chặn QUIC
Mặc dù QUIC mang lại nhiều lợi ích về hiệu suất, nhiều hệ thống mạng doanh nghiệp vẫn lựa chọn chặn giao thức này tại gateway.
5.1 Khó phân tích và kiểm soát traffic
Do QUIC tích hợp TLS encryption trực tiếp trong transport, nên:
-
dữ liệu được mã hóa sớm
-
firewall khó kiểm tra nội dung
Các hệ thống như:
-
URL filtering
-
SSL inspection
-
Application control
có thể hoạt động kém hiệu quả khi traffic sử dụng QUIC.
5.2 Khó nhận diện ứng dụng
Nhiều thiết bị bảo mật nhận diện ứng dụng dựa trên:
-
TLS SNI
-
HTTP header
-
deep packet inspection
Khi sử dụng QUIC:
-
traffic chạy trên UDP
-
nhiều thông tin bị mã hóa sớm
nên việc nhận diện ứng dụng trở nên khó khăn hơn.
5.3 Giảm khả năng kiểm soát nội dung
Trong các hệ thống mạng doanh nghiệp, quản trị viên thường cần:
-
chặn mạng xã hội
-
lọc nội dung web
-
phân tích lưu lượng Internet
Khi QUIC được sử dụng, một số cơ chế lọc nội dung có thể không hoạt động như mong muốn.
6. Vì sao chặn QUIC thường không ảnh hưởng người dùng
Một đặc điểm quan trọng của các trình duyệt hiện đại là fallback protocol.
Nếu QUIC không khả dụng, trình duyệt sẽ tự động quay về:
HTTPS TCP 443
Do đó:
-
website vẫn truy cập được
-
chỉ chuyển sang HTTP/2 hoặc HTTP/1.1
Vì vậy nhiều hệ thống mạng doanh nghiệp lựa chọn chặn QUIC để duy trì khả năng kiểm soát traffic.
7. Ví dụ chặn QUIC trên gateway router
Trong nhiều hệ thống mạng, QUIC có thể được chặn bằng cách lọc UDP port 443 tại gateway.
Ví dụ trên router chạy MikroTik RouterOS:
/ip firewall filter add chain=forward protocol=udp dst-port=443 action=drop comment="Block QUIC"
Rule này sẽ ngăn client trong mạng LAN sử dụng HTTP/3 và buộc trình duyệt quay về HTTPS TCP 443.
8. So sánh QUIC và TCP + TLS
Để hiểu rõ sự khác biệt, bảng dưới đây so sánh hai mô hình truyền tải phổ biến.
8.1 Bảng so sánh kỹ thuật
| Tiêu chí | QUIC | TCP + TLS |
|---|---|---|
| Transport protocol | UDP | TCP |
| Chuẩn web sử dụng | HTTP/3 | HTTP/1.1, HTTP/2 |
| Handshake | 1 RTT hoặc 0 RTT | 2–3 RTT |
| Encryption | TLS 1.3 tích hợp trong QUIC | TLS chạy trên TCP |
| Multiplexing | Có (native) | Có trong HTTP/2 |
| Head-of-Line Blocking | Không | Có ở TCP |
| Connection migration | Có | Không |
| Protocol port | UDP 443 | TCP 443 |
| Khả năng kiểm soát firewall | Khó hơn | Dễ hơn |
9. Cách kiểm tra website có sử dụng QUIC hay không
9.1 Kiểm tra bằng Chrome DevTools
Trong trình duyệt Chrome:
-
Mở Developer Tools
-
Chọn tab Network
-
Thêm cột Protocol
Nếu website sử dụng QUIC, bạn sẽ thấy:
h3
đây là ký hiệu của HTTP/3.
9.2 Kiểm tra bằng Wireshark
Khi capture traffic bằng Wireshark, nếu thấy:
UDP 443 QUIC protocol
thì website đang sử dụng HTTP/3.
9.3 Kiểm tra bằng curl
Có thể kiểm tra bằng lệnh:
curl -I --http3 https://example.com
Nếu server hỗ trợ HTTP/3, curl sẽ thiết lập kết nối QUIC.
10. Kết luận
QUIC là giao thức truyền tải hiện đại được thiết kế để cải thiện hiệu suất web và giảm độ trễ kết nối.
Nhờ các tính năng như:
-
handshake nhanh
-
multiplexing hiệu quả
-
connection migration
QUIC giúp tăng tốc nhiều dịch vụ web hiện đại.
Tuy nhiên trong môi trường mạng doanh nghiệp, việc sử dụng QUIC có thể làm giảm khả năng kiểm soát traffic và phân tích dữ liệu mạng. Vì vậy nhiều hệ thống mạng lựa chọn chặn QUIC tại gateway để duy trì khả năng quản lý và bảo mật hệ thống.
