feat: block quic

danbai225 · danbai225 · commit a340fb695296 · 2025-11-20T20:29:20.000+08:00
diff --git a/Cargo.lock b/Cargo.lock
diff --git a/README.md b/README.md
@@ -22,7 +22,8 @@ Rust Firewall - 基于 eBPF/XDP 的高性能防火墙，支持协议深度检测
 3. **屏蔽中国 IP 的 SOCKS5 入站** - 使用协议深度检测识别 SOCKS5 流量，阻止来自中国 IP 的 SOCKS5 入站连接
 4. **屏蔽中国 IP 的全加密流量入站** - 使用 FET 算法识别 Shadowsocks、V2Ray 等加密代理，阻止来自中国 IP 的全加密代理流量
 5. **屏蔽中国 IP 的 WireGuard VPN 入站** - 精准识别 WireGuard VPN 协议，阻止来自中国 IP 的 WireGuard 流量
-6. **屏蔽中国 IP 的所有入站流量** - 阻止所有来自中国 IP 的入站连接（不限协议、不限端口）
+6. **屏蔽中国 IP 的 QUIC 入站** - 精准识别 QUIC 协议（HTTP/3），阻止来自中国 IP 的 QUIC 流量
+7. **屏蔽中国 IP 的所有入站流量** - 阻止所有来自中国 IP 的入站连接（不限协议、不限端口）
 
 ### 协议深度检测 (DPI)
 
@@ -32,6 +33,7 @@ Rust Firewall - 基于 eBPF/XDP 的高性能防火墙，支持协议深度检测
 - **SOCKS5 检测**：识别 SOCKS5 握手协议特征
 - **全加密流量检测**：使用统计算法识别 Shadowsocks、V2Ray 等加密代理
 - **WireGuard 检测**：精准识别 WireGuard VPN 协议
+- **QUIC 检测**：识别 QUIC v1/v2 和 Google QUIC 协议（HTTP/3）
 - **不依赖端口号**：即使服务运行在非标准端口也能识别
 
 ### 性能特性
@@ -76,10 +78,11 @@ sudo ./target/release/rfw --iface eth0 \
   --block-cn-http \
   --block-cn-socks5 \
   --block-cn-fet-strict \
-  --block-cn-wg
+  --block-cn-wg \
+  --block-cn-quic
 
 # 启用详细日志
-sudo RUST_LOG=info ./target/release/rfw --iface eth0 --block-cn-wg
+sudo RUST_LOG=info ./target/release/rfw --iface eth0 --block-cn-wg --block-cn-quic
 ```
 
 ## 使用说明
@@ -162,7 +165,32 @@ sudo ./target/release/rfw --iface eth0 --block-cn-wg
 - 误报率极低，性能开销小
 - 不会影响其他 UDP 应用
 
-#### 6. 屏蔽中国 IP 的所有入站流量
+#### 6. 屏蔽中国 IP 的 QUIC 入站
+
+```bash
+sudo ./target/release/rfw --iface eth0 --block-cn-quic
+```
+
+阻止来自中国 IP 的 QUIC 协议流量（HTTP/3）
+
+**特点：**
+- 精准识别 QUIC v1（RFC 9000）和 QUIC v2（RFC 9369）
+- 支持检测 Google QUIC 协议
+- 识别长头部和短头部数据包
+- 误报率极低，不影响其他 UDP 应用
+
+**支持的 QUIC 版本：**
+- QUIC v1（RFC 9000，版本号 0x00000001）
+- QUIC v2（RFC 9369，版本号 0x6b3343cf）
+- Google QUIC（Q0xx 系列）
+- 版本协商包
+
+**使用场景：**
+- 阻止基于 HTTP/3 的服务被滥用
+- 防止 QUIC 代理服务器被滥用
+- 限制新一代加密传输协议的入站连接
+
+#### 7. 屏蔽中国 IP 的所有入站流量
 
 ```bash
 sudo ./target/release/rfw --iface eth0 --block-cn-all
@@ -193,13 +221,15 @@ sudo ./target/release/rfw --iface eth0 \
   --block-cn-socks5 \
   --block-cn-fet-strict \
   --block-cn-wg \
+  --block-cn-quic
 
 # 仅启用 GeoIP 相关规则
 sudo ./target/release/rfw --iface eth0 \
   --block-cn-http \
   --block-cn-socks5 \
   --block-cn-fet-strict \
-  --block-cn-wg
+  --block-cn-wg \
+  --block-cn-quic
 
 # 仅启用协议检测规则（HTTP + SOCKS5）
 sudo ./target/release/rfw --iface eth0 \
@@ -210,10 +240,19 @@ sudo ./target/release/rfw --iface eth0 \
 sudo ./target/release/rfw --iface eth0 \
   --block-cn-fet-strict
 
+# 仅启用 VPN/代理协议检测（WireGuard + QUIC）
+sudo ./target/release/rfw --iface eth0 \
+  --block-cn-wg \
+  --block-cn-quic
+
 # 仅启用 WireGuard VPN 检测
 sudo ./target/release/rfw --iface eth0 \
   --block-cn-wg
 
+# 仅启用 QUIC 协议检测
+sudo ./target/release/rfw --iface eth0 \
+  --block-cn-quic
+
 # 仅启用屏蔽所有中国 IP 入站（最简单直接）
 sudo ./target/release/rfw --iface eth0 \
   --block-cn-all
@@ -260,7 +299,7 @@ rfw 基于 **eBPF/XDP** 技术，使用 **Rust** 语言开发。
 2. 检查是否为 IPv4 数据包（**目前仅支持 IPv4**）
 3. 根据启用的规则进行检测：
    - GeoIP 检测：检查源 IP 是否属于中国
-   - 协议检测：识别 HTTP、SOCKS5、WireGuard 等协议特征
+   - 协议检测：识别 HTTP、SOCKS5、WireGuard、QUIC 等协议特征
    - 端口检测：识别 Email 发送端口
 4. 返回判决：允许通过或丢弃
 
diff --git a/rfw-common/Cargo.toml b/rfw-common/Cargo.toml
@@ -1,6 +1,6 @@
 [package]
 name = "rfw-common"
-version = "0.1.4"
+version = "0.1.5"
 edition.workspace = true
 
 license.workspace = true
diff --git a/rfw-common/src/lib.rs b/rfw-common/src/lib.rs
@@ -15,6 +15,7 @@ pub const RULE_BLOCK_CN_FET_STRICT: u32 = 1 << 3; // 屏蔽中国 IP 的全加
 pub const RULE_BLOCK_CN_WIREGUARD: u32 = 1 << 4; // 屏蔽中国 IP 的 WireGuard 入站
 pub const RULE_BLOCK_CN_ALL: u32 = 1 << 5; // 屏蔽中国 IP 的所有入站流量
 pub const RULE_BLOCK_CN_FET_LOOSE: u32 = 1 << 6; // 屏蔽中国 IP 的全加密流量入站 (宽松模式，默认放过)
+pub const RULE_BLOCK_CN_QUIC: u32 = 1 << 7; // 屏蔽中国 IP 的 QUIC 入站
 
 impl FirewallConfig {
     pub fn new() -> Self {
diff --git a/rfw-ebpf/Cargo.toml b/rfw-ebpf/Cargo.toml
@@ -1,6 +1,6 @@
 [package]
 name = "rfw-ebpf"
-version = "0.1.4"
+version = "0.1.5"
 edition.workspace = true
 
 [dependencies]
diff --git a/rfw-ebpf/src/main.rs b/rfw-ebpf/src/main.rs
@@ -115,6 +115,7 @@ const RULE_BLOCK_CN_FET_STRICT: u32 = 1 << 3; // FET 严格模式（默认阻止
 const RULE_BLOCK_CN_WIREGUARD: u32 = 1 << 4;
 const RULE_BLOCK_CN_ALL: u32 = 1 << 5;
 const RULE_BLOCK_CN_FET_LOOSE: u32 = 1 << 6; // FET 宽松模式（默认放过）
+const RULE_BLOCK_CN_QUIC: u32 = 1 << 7;
 
 // WireGuard 协议常量
 const WG_TYPE_HANDSHAKE_INIT: u8 = 1;
@@ -247,8 +248,7 @@ fn try_rfw(ctx: XdpContext) -> Result<u32, ()> {
                     let payload_size = end.saturating_sub(start + payload_offset);
 
                     // 没有payload，跳过检测（例如纯ACK包、FIN包等控制包）
-                    // 小包豁免：payload < 20 字节的包暂时放过
-                    if payload_size == 0 || payload_size < 20 {
+                    if payload_size == 0 {
                         return Ok(xdp_action::XDP_PASS);
                     }
 
@@ -316,8 +316,8 @@ fn try_rfw(ctx: XdpContext) -> Result<u32, ()> {
                             }
 
                             // 检查 FET（全加密流量）入站屏蔽规则
-                            // FET 检测需要至少 6 字节
-                            if !should_block && payload_size >= 6 {
+                            // FET 检测需要至少 16 字节
+                            if !should_block && payload_size >= 16 {
                                 // 判断模式：严格或宽松
                                 let strict_mode = (*config_flags & RULE_BLOCK_CN_FET_STRICT) != 0;
                                 let loose_mode = (*config_flags & RULE_BLOCK_CN_FET_LOOSE) != 0;
@@ -346,7 +346,10 @@ fn try_rfw(ctx: XdpContext) -> Result<u32, ()> {
                                     }
                                 }
                             }
-
+                            // 放过小包等后续大包再检查
+                            if payload_size <= 6 {
+                                return Ok(xdp_action::XDP_PASS);
+                            }
                             // 处理检测结果
                             if should_block {
                                 // 标记这个连接为已阻止，后续包也会被DROP
@@ -371,19 +374,34 @@ fn try_rfw(ctx: XdpContext) -> Result<u32, ()> {
             // 检查 WireGuard 入站屏蔽规则（来自中国的入站）
             if (*config_flags & RULE_BLOCK_CN_WIREGUARD) != 0 {
                 // 通过协议深度检测识别 WireGuard 流量
-                if is_wireguard_packet(&ctx, payload_offset)? {
-                    if is_cn_ip(src_ip)? {
-                        let src_port = u16::from_be(unsafe { (*udp_hdr).source });
-                        let dst_port = u16::from_be(unsafe { (*udp_hdr).dest });
-                        info!(
-                            &ctx,
-                            "BLOCKED: WireGuard VPN 入站流量来自中国, 源 {:i}:{} -> 目标端口 {}",
-                            u32::from_be(src_ip),
-                            src_port,
-                            dst_port
-                        );
-                        return Ok(xdp_action::XDP_DROP);
-                    }
+                if is_cn_ip(src_ip)? && is_wireguard_packet(&ctx, payload_offset)? {
+                    let src_port = u16::from_be(unsafe { (*udp_hdr).source });
+                    let dst_port = u16::from_be(unsafe { (*udp_hdr).dest });
+                    info!(
+                        &ctx,
+                        "BLOCKED: WireGuard VPN 入站流量来自中国, 源 {:i}:{} -> 目标端口 {}",
+                        u32::from_be(src_ip),
+                        src_port,
+                        dst_port
+                    );
+                    return Ok(xdp_action::XDP_DROP);
+                }
+            }
+
+            // 检查 QUIC 入站屏蔽规则（来自中国的入站）
+            if (*config_flags & RULE_BLOCK_CN_QUIC) != 0 {
+                // 通过协议深度检测识别 QUIC 流量
+                if is_cn_ip(src_ip)? && is_quic_packet(&ctx, payload_offset)? {
+                    let src_port = u16::from_be(unsafe { (*udp_hdr).source });
+                    let dst_port = u16::from_be(unsafe { (*udp_hdr).dest });
+                    info!(
+                        &ctx,
+                        "BLOCKED: QUIC 入站流量来自中国, 源 {:i}:{} -> 目标端口 {}",
+                        u32::from_be(src_ip),
+                        src_port,
+                        dst_port
+                    );
+                    return Ok(xdp_action::XDP_DROP);
                 }
             }
         }
@@ -865,6 +883,74 @@ fn is_wireguard_packet(ctx: &XdpContext, payload_offset: usize) -> Result<bool,
     Ok(false)
 }
 
+// 检测是否为 QUIC 协议数据包
+// QUIC 协议特征：
+// - 长头部包（Long Header）：首字节最高位为 1，包含版本号字段
+//   - QUIC v1: 版本号 0x00000001
+//   - QUIC v2: 版本号 0x6b3343cf
+//   - 版本协商包: 版本号 0x00000000
+// - 短头部包（Short Header）：首字节最高位为 0（已建立连接）
+#[inline(always)]
+fn is_quic_packet(ctx: &XdpContext, payload_offset: usize) -> Result<bool, ()> {
+    // 读取前5个字节（首字节 + 4字节版本号）
+    let header = match ptr_at::<[u8; 5]>(ctx, payload_offset) {
+        Ok(ptr) => unsafe { *ptr },
+        Err(_) => return Ok(false),
+    };
+
+    let first_byte = header[0];
+
+    // 检查长头部包（最高位为 1）
+    if (first_byte & 0x80) == 0x80 {
+        // 读取版本号（大端序）
+        let version = ((header[1] as u32) << 24)
+            | ((header[2] as u32) << 16)
+            | ((header[3] as u32) << 8)
+            | (header[4] as u32);
+
+        // 检查常见的 QUIC 版本号
+        // 0x00000000: 版本协商包
+        // 0x00000001: QUIC v1 (RFC 9000)
+        // 0x6b3343cf: QUIC v2 (RFC 9369)
+        // 0x51303xxx: Google QUIC (Q0xx)
+        if version == 0x00000000
+            || version == 0x00000001
+            || version == 0x6b3343cf
+            || (version & 0xFFFF0000) == 0x51303000
+        {
+            return Ok(true);
+        }
+
+        // 其他小版本号也可能是 QUIC（允许未来版本）
+        // 但为了减少误判，只识别已知版本
+        if version != 0 && version < 0x0000000a {
+            return Ok(true);
+        }
+    } else {
+        // 短头部包（最高位为 0）
+        // 这些是已建立连接的数据包，更难识别
+        // 但如果首字节符合 QUIC 短头部格式，也认为是 QUIC
+        // 短头部格式：0XXX XXXX (最高位为0)
+        // 为了减少误判，我们只在有明确特征时才识别
+
+        // 检查是否有 QUIC 连接 ID（通过数据包长度判断）
+        let start = ctx.data();
+        let end = ctx.data_end();
+        let packet_len = end.saturating_sub(start + payload_offset);
+
+        // QUIC 短头部包通常至少有 20 字节
+        // 并且第一个字节的特定位模式
+        if packet_len >= 20 {
+            // 如果固定位（bit 6）为 1，这是 QUIC v1/v2 的要求
+            if (first_byte & 0x40) == 0x40 {
+                return Ok(true);
+            }
+        }
+    }
+
+    Ok(false)
+}
+
 // 辅助函数：从数据包中获取指定偏移的指针
 // CRITICAL: 必须使用直接的指针比较，verifier 才能理解
 #[inline(always)]
diff --git a/rfw/Cargo.toml b/rfw/Cargo.toml
@@ -1,6 +1,6 @@
 [package]
 name = "rfw"
-version = "0.1.4"
+version = "0.1.5"
 edition.workspace = true
 
 license.workspace = true
diff --git a/rfw/src/main.rs b/rfw/src/main.rs
@@ -166,6 +166,17 @@ struct Opt {
     #[clap(long)]
     block_cn_wg: bool,
 
+    /// 屏蔽来自中国 IP 的 QUIC 协议入站连接
+    ///
+    /// 检测 QUIC 协议特征:
+    /// - QUIC v1 (RFC 9000)
+    /// - QUIC v2 (RFC 9369)
+    /// - Google QUIC
+    ///
+    /// 用途: 阻止基于 QUIC 的服务（如 HTTP/3）被滥用
+    #[clap(long)]
+    block_cn_quic: bool,
+
     /// 屏蔽来自中国 IP 的所有入站流量（不限协议）
     ///
     /// 最激进的规则，直接在 IP 层阻止所有中国来源的入站连接
@@ -194,6 +205,7 @@ async fn main() -> anyhow::Result<()> {
         && !opt.block_cn_fet_strict
         && !opt.block_cn_fet_loose
         && !opt.block_cn_wg
+        && !opt.block_cn_quic
         && !opt.block_cn_all
     {
         println!("警告: 未启用任何防火墙规则，程序将运行但不执行任何过滤操作");
@@ -262,6 +274,10 @@ async fn main() -> anyhow::Result<()> {
         config_flags |= rfw_common::RULE_BLOCK_CN_WIREGUARD;
         info!("启用规则: 屏蔽中国 IP 的 WireGuard VPN 入站");
     }
+    if opt.block_cn_quic {
+        config_flags |= rfw_common::RULE_BLOCK_CN_QUIC;
+        info!("启用规则: 屏蔽中国 IP 的 QUIC 入站");
+    }
     if opt.block_cn_all {
         config_flags |= rfw_common::RULE_BLOCK_CN_ALL;
         info!("启用规则: 屏蔽中国 IP 的所有入站流量");
@@ -278,6 +294,7 @@ async fn main() -> anyhow::Result<()> {
         || opt.block_cn_fet_strict
         || opt.block_cn_fet_loose
         || opt.block_cn_wg
+        || opt.block_cn_quic
         || opt.block_cn_all
     {
         info!("检测到需要 GeoIP 规则，正在下载中国 IP 数据...");
