在Delphi中从缓冲区检测QUIC协议？

Question

我有一个应用程序在德尔菲，监测UDP流量。当使用QUIC协议时，什么是正确的检测方法？我将数据保存在TBytes缓冲区中。

QUIC：https://datatracker.ietf.org/doc/html/rfc9000

Answer 1

取决于你所寻找的积极匹配的程度，在“在公园散步”和“有点噩梦”之间的努力是不同的。

QUIC有一个复杂的握手，在此过程中导出加密密钥，然后进入完全加密的应用程序数据阶段。除此之外，该协议还允许在交换期间迁移端点(例如移动设备在wifi和移动数据之间跳转)，因此，简单地跟踪IP地址和端口并不能捕获所有信息。

如果您所需要的只是基本检测发起的QUIC连接，那么您所需要做的就是查找初始数据包，这些数据包具有清晰的格式，并且只会被混淆(而不是加密)。

来自RFC9000

17.2.2.  Initial Packet

   An Initial packet uses long headers with a type value of 0x00.  It
   carries the first CRYPTO frames sent by the client and server to
   perform key exchange, and it carries ACK frames in either direction.

   Initial Packet {
     Header Form (1) = 1,
     Fixed Bit (1) = 1,
     Long Packet Type (2) = 0,
     Reserved Bits (2),
     Packet Number Length (2),
     Version (32),
     Destination Connection ID Length (8),
     Destination Connection ID (0..160),
     Source Connection ID Length (8),
     Source Connection ID (0..160),
     Token Length (i),
     Token (..),
     Length (i),
     Packet Number (8..32),
     Packet Payload (8..),
   }

因此，检测quick 1初始数据包的一种快速而肮脏的方法是检查以下内容(psuedocode)：

( packet[ 0 ] & 0xf0 ) == 0xc0
packet[ 1 ] == 0x00
packet[ 2 ] == 0x00
packet[ 3 ] == 0x00
packet[ 4 ] == 0x01

如果你想超越这一点，它很快就会变得更加复杂。

我强烈建议下载并运行威雷沙克，并亲自查看它在有线上的样子。