Skip to main content
Nubint
QUICK REVIEW

[论文解读] QASM: A Novel Framework for QUIC-Aware Stateful Middleboxes

Hari Hara Sudhan Selvam, Sameer G. Kulkarni|arXiv (Cornell University)|Feb 3, 2026
Network Traffic and Congestion Control被引用 0
一句话总结

本论文提出 QASM —— 一套框架,使具状态的中间盒能够通过使用 DCID、IP 和跟踪代理,在迁移过程中对 QUIC 连接进行可靠跟踪,开销极小。

ABSTRACT

Stateful Middleboxes are integral part of enterprise and campus networks that provide essential in-network, security, and value-added services. These stateful middleboxes rely on precise network flow identification. However, the adoption of HTTP/3, which uses the QUIC protocol, poses significant challenges to the proper functioning of these devices. QUIC's encryption and connection migration features obscure flow semantics, disrupting middlebox visibility and functionality. We examine how QUIC disrupts middleboxes like Network Address Translators (NATs), Rate Limiters, Load Balancers, etc., and affects Kubernetes-based service deployments. To address these challenges, we propose a novel, generalized framework that enables stateful middleboxes to reliably track QUIC connections, even when the endpoints change their internet protocol (IP) address or port numbers. Our prototype implementation demonstrates that the proposed approach preserves middlebox functionality with HTTP/3 with negligible performance overhead (< 5%) on both throughput and latency, and works effectively even under high QUIC connection migration rates of up to 100 Hz.

研究动机与目标

  • 识别 QUIC 的连接迁移如何干扰传统中间盒(NAT、LB、RL)以及 Kubernetes 部署。
  • 提出一个通用、有效的框架,在不对 QUIC 实现进行侵入性修改的情况下,维持中间盒对 QUIC 连接的感知。
  • 通过实现与评估证明 QASM 在频繁迁移下能以低开销保持中间盒功能。

提出的方法

  • 为 QUIC 连接定义跟踪属性(O-DCID、DCID 集、客户端地址、服务器 IP/端口)。
  • 提出三组件架构:客户端代理、跟踪代理、以及支持 QUIC 感知的有状态中间盒(QASM)。
  • 在 aioquic 中实现客户端代理,并作为一种可选的基于 eBPF 的方案提取 DCID。
  • 开发一个中心化的跟踪代理,提供面向客户端和中间盒的 API;支持分片以提升可扩展性。
  • 使中间盒能够查询或订阅跟踪信息,确保快速查找和更新。
Figure 1. Network Stack of HTTP/2 and HTTP/3
Figure 1. Network Stack of HTTP/2 and HTTP/3

实验结果

研究问题

  • RQ1QUIC 连接迁移如何影响 NAT、负载均衡、速率限制以及 Kubernetes conntrack?
  • RQ2在高迁移率下,QUIC 感知框架是否能够保持中间盒功能?
  • RQ3在现实网络中部署 QASM 的开销和性能影响如何?
  • RQ4应如何对跟踪信息进行结构化,以在迁移中维持 QUIC 连接?

主要发现

QUIC O-DCIDL4 协议私有 IP私有端口公有 IP公有端口
fa12abQUIC10.0.0.451000165.12.81.1419450
  • QUIC 连接迁移在测试条件下可能耗尽 NAT 映射,并在 NAT 中造成类似 DoS 的效应。
  • 当 QUIC 迁移改变 5-tuple 时,负载均衡器将丢失流的持久性,导致连接中断并可能引发内存问题。
  • 速率限制器将迁移后的 QUIC 流量误分类为新流,绕过按连接限制的控制而未具 QUIC 感知。
  • 在测试中,具 QUIC 感知的中间盒在迁移过程上保持了对同一个 QUIC 连接的单一公有 IP/端口关联。
  • 具 QUIC 感知的 NAT 的延迟开销可以忽略不计;主动模式与默认 NAT 延迟相当,消极模式增加约 5% 的处理开销。
  • 在评估场景中,即使存在多个中间盒与多次迁移,具 QUIC 感知 NAT 的吞吐量仍与默认 NAT 相当。
Figure 2. DoS with HTTP/3 and NAT. QUIC packets of same connection with different network address. The number on top of the packet indicates the UDP Source port number.
Figure 2. DoS with HTTP/3 and NAT. QUIC packets of same connection with different network address. The number on top of the packet indicates the UDP Source port number.

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。