Протокол QUIC (название расшифровывается как Quick UDP Internet Connections) — совершенно новый способ передачи информации в интернете, построенный поверх протокола UDP, вместо общепринятого ранее использования TCP. Некоторые люди называют его (в шутку) TCP/2. Переход к UDP — наиболее интересная и мощная особенность протокола, из которой следуют некоторые другие особенности.

Сегодняшний Web построен на протоколе TCP, который был выбран за его надёжность и гарантированность доставки пакетов. Для открытия TCP-соединения используется так называемое «трёхкратное рукопожатие». Это означает дополнительные циклы отправки-приёма сообщений для каждого нового соединения, что увеличивает задержки.

image

Если вы захотите установить защищённое TLS-соединение, придётся переслать ещё больше пакетов.

image

Некоторые инновации, вроде TCP Fast Open, улучшат некоторые аспекты ситуации, но эта технология пока не очень широко распространена.

Протокол UDP, с другой стороны, построен на идее «отправить пакет и забыть о нём». Сообщение, отправленное по UDP, будет доставлено получателю (не гарантированно, с некоторой вероятностью успеха). Яркое преимущество здесь в меньшем времени установки соединения, такой же яркий недостаток — негарантированность доставки или порядка прихода пакетов получателю. Это означает, что для обеспечения надёжности придётся построить некоторый механизм поверх UDP, который гарантирует доставку пакетов.

И здесь на сцену выходит QUIC от Google.

Протокол QUIC может открыть соединение и согласовать все параметры TLS (HTTPs) за 1 или 2 пакета (1 или 2 — зависит от того, открывается ли соединение к новому серверу или к уже знакомому).

image

Это невероятно ускоряет открытие соединения и начало загрузки данных.

Зачем нужен QUIC?


Планы команды разработчиков протокола QUIC выглядят очень амбициозно: протокол попытается совместить скорость UDP с надёжностью TCP.

Вот что об этом пишет Википедия:

Улучшение протокола TCP является долговременной целью для Google, а протокол QUIC создан как эквивалент независимого TCP-соединения, но с уменьшенными задержками и улучшенной в духе SPDY поддержкой мультиплексирования. Если QUIC покажет свою эффективность, то эти возможности могут войти в следующую версию протоколов TCP и TLS (разработка которых занимает больше времени).

В этой цитате есть важный момент: если QUIC докажет свою эффективность, то есть шанс, что опробованные в нём идеи станут частью следующей версии TCP.

Протокол TCP достаточно сильно формализован. Его реализации есть в ядрах Windows и Linux, в каждой мобильной OS, да и во многих более простых устройствах. Улучшение TCP является непростым делом, поскольку все эти реализации должны его поддерживать.

UDP же является относительно простым протоколом. Значительно быстрее разработать новый протокол поверх UDP чтобы иметь возможность проверить теоретические идеи, работу в перегруженных сетях, обработку заблокированных потерянным пакетом потоков и т.д. Как только эти моменты будут прояснены — можно будет начинать работу по переносу лучших частей QUIC в следующую версию TCP.

Где же сегодня место QUIC?


Если вы посмотрите на уровни, составляющие современное HTTPs-соединение, то увидите, что QUIC заменяет собой весь TLS-стек и часть HTTP/2.

Да, протокол QUIC реализует собственный крипто-слой, что позволяет избежать использования TLS 1.2.

image

Поверх QUIC работает небольшая прослойка HTTP/2 API, используемая для общения с удалёнными серверами. Она меньше полной реализации HTTP/2, поскольку мультиплексирование и установка соединения уже реализованы в QUIC. Остаётся лишь реализация протокола HTTP.

Блокировка начала очереди (Head-of-line blocking)


Протоколы SPDY и HTTP/2 используют одно TCP-соединение с сервером вместо отдельных соединений для каждой страницы. Это единое соединение может быть использовано для независимых запросов и получения отдельных ресурсов.

image

Поскольку весь обмен данными теперь построен на одном TCP-соединении, мы автоматически получаем один недостаток: блокировку начала очереди (Head-of-line blocking). В протоколе TCP требуется, чтобы пакеты приходили (точнее обрабатывались) в правильном порядке. Если пакет потерялся на пути к\от сервера — он должен быть отослан повторно. TCP-соединение в это время должно ожидать (блокироваться) и лишь после повторного получения потерянного пакета продолжается обработка всех пакетов в очереди — только так можно соблюсти условие корректного порядка обработки пакетов.

image

Протокол QUIC решает эту проблему фундаментально — отказом от протокола TCP в пользу UDP, который не требует соблюдения порядка обработки принимаемых пакетов. И, хотя потери пакетов, конечно, всё так же возможны, это будет влиять только на обработку тех ресурсов (индивидуальных HTML\CSS\JS-файлов), к которым относится потерянный пакет.

image

QUIC очень элегантно комбинирует лучшие части SPDY\HTTP2 (мультиплексирование) с неблокируемым транспортным протоколом.

Почему уменьшить количество пересылаемых пакетов так важно


Если у вас быстрое Интернет-соединение, то задержки передачи пакетов между вашим компьютером и удалённым сервером составляют около 10-50 мс. Каждый пересылаемый от вас по сети пакет будет получен сервером через этот промежуток времени. Для такого порядка величин преимущества QUIC могут быть не очень понятны. Но стоит нам рассмотреть вопрос обмена данными с сервером на другом континенте или использования мобильных сетей — и вот у нас уже появляются задержки порядка 100-150 мс.

image

В итоге на мобильном устройстве, при доступе к находящемуся далеко серверу, разница между 4 пакетами TCP+TLS и одним пакетом QUIC может составить около 300 мс, что уже является существенной величиной, наблюдаемой невооруженным глазом.

Превентивная коррекция ошибок

Изящной фичей протокола QUIC является превентивная коррекция ошибок (Forward Error Correction, FEC). Каждый пересылаемый пакет содержит в себе некоторое количество данных других пакетов, что позволяет реконструировать любой потерянный пакет по данным в его соседях, без необходимости запрашивать переотправку потерянного пакета и дожидаться его содержимого. Это, по сути, реализация RAID 5 на сетевом уровне.

Но вы уже и сами видите недостаток этого решения: каждый пакет становится немного больше. Текущая реализация устанавливает этот оверхед равным 10%, т.е. сделав каждый пересылаемый пакет на 10% больше мы тем самым получаем возможность восстановления данных без перезапроса в случае, если будет теряться не более каждого десятого пакета.

Эта избыточность — плата пропускной способностью сети за уменьшение задержек (что выглядит логично, ведь скорости соединения и пропускная способность каналов непрерывно растут, а вот тот факт, что передача данных на другой конец планеты занимает сотню миллисекунд — навряд ли удастся как-то изменить без фундаментального переворота в физике).

Возобновление сессии и параллельные загрузки


Ещё одной интересной особенностью использования протокола UDP является то, что вы больше не привязаны к IP сервера. В протоколе TCP соединение определяется четырьмя параметрам: IP-адресами сервера и клиента, портами сервера и клиента. В Linux вы можете увидеть эти параметры для каждого установленного соединения с помощью комманды netstat:

$ netstat -anlp | grep ':443'
...
tcp6       0      0 2a03:a800:a1:1952::f:443 2604:a580:2:1::7:57940  TIME_WAIT   -
tcp        0      0 31.193.180.217:443       81.82.98.95:59355       TIME_WAIT   -
...

Если любой из этих четырёх параметров потребуется изменить — нам потребуется открывать новое TCP-соединение. Вот почему трудно поддерживать стабильную связь на мобильных устройствах при переключении между WiFi и 3G/LTE.

image

В QUIC, с его использованием UDP, данного набора параметров больше нет. QUIC вводит понятие идентификатора соединения, называемого Connection UUID. Появляется возможность перейти с WiFi на LTE с сохранением Connection UUID, таким образом избежав затрат на пересоздание соединения. Похожим образом работает Mosh Shell, сохраняя SSH-соединение активным при смене IP-адреса.

Также данный подход открывает двери возможности использования нескольких источников для запроса контента. Если Connection UUID может быть использовано для перехода от WiFi к мобильной сети, то мы можем, теоретически, использовать и их обе одновременно для получения данных параллельно. Больше каналов связи — больше пропускная способность.

Практические реализации QUIC


Браузер Chrome имеет экспериментальную поддержку QUIC с 2014-го года. Если вы хотите потестировать QUIC, то можете включить его поддержку в Chrome и попробовать поработать с сервисами Google, которые его поддерживают. Это сильное преимущество Google — возможность использовать комбинацию своего браузера и своих же веб-ресурсов. Включив QUIC в самом популяром в мире браузере (Chrome) и высоконагруженных сайтах (Youtube.com, Google.com), они смогут получить большую, наглядную статистику использования протокола, что позволит выявить все существенные проблемы практического использования QUIC.

Есть плагин для Chrome, который показывает в виде иконки поддержку сервером протоколов HTTP/2 и QUIC.

Вы также можете увидеть открытые QUIC-соединения открыв вкладку chrome://net-internals/#quic прямо сейчас (обратите внимание в таблице на параметр Connection UUID, упомянутый ранее)

image

Вы можете пойти ещё дальше и посмотреть все открытые соединения и все переданные по ним пакеты: chrome://net-internals/#events&q=type:QUIC_SESSION%20is:active.

image

Как при этом всём работают файрволы?


Если вы — сисадмин или сетевой инженер, то, возможно, слегка дёрнулись, когда услышали о том, что QUIC использует UDP вместо TCP. Да, наверное, у вас есть на то свои причины. Возможно у вас (как, например, и у нас в компании), настройки доступа к веб-серверу выглядят как-то так:

image

Самое главное здесь, конечно же, столбик протокола, в котором явно написано «TCP». Подобные настройки используются тысячами веб-серверов по всему миру, поскольку они разумны. 80 и 443 порты, только TCP — и больше ничего на продакшн-вебсервере разрешено быть не должно. Никакого UDP.

Ну, если мы хотим использовать QUIC, придётся добавить и разрешение UDP-соединений на 443-ий порт. В больших энтерпрайз-сетях это может быть проблемой. Как показывает статистика Google, UDP кое-где блокируется:

image

Эти цифры были получены в ходе недавнего исследования в Швеции. Отметим несколько ключевых моментов:

  • Поскольку QUIC тестировался только с сервисами Google, можно предположить, что недоступности из-за неверно настроенного файрвола на сервере не было.
  • Цифры отражают успешность исходящих запросов от пользователей на 443-ий UDP-порт.
  • QUIC может быть отключен в Chrome по разным причинам. Держу пари, что в некоторых энтерпрайз-средах его отключили превентивно, просто на всякий случай.
  • Поскольку протокол QUIC по-умолчанию использует шифрование, нам следует беспокоиться только о доступе к 443-му порту, доступность или недоступность 80-го не должна как-то влиять.

Преимущество шифрования по-умолчанию в том, что различные инструменты Deep Packet Inspection не могут расшифровать зашифрованную информацию и модифицировать данные, они видят бинарный поток и (хочется верить) просто пропускают его.

Использование QUIC на серверной стороне


На данный момент QUIC поддерживается вебсервером Caddy (с версии 0.9). И клиентская, и серверная реализация QUIC ещё на стадии экспериментальной поддержки, так что будьте осторожны с практическим применением QUIC. Поскольку ни у кого по-умолчанию не включен QUIC, то, вероятно, будет безопасным включить его на своём сервере и экспериментировать со своим браузером (Обновление: с версии 52 QUIC включён по-умолчанию в Chrome).

Производительность QUIC


В 2015-ом году Google опубликовала некоторые результаты замеров производительности QUIC.

Как и ожидалось, QUIC затмевает классический TCP на плохих каналах связи, давая выигрыш в полсекунды на загрузке стартовой страницы www.google.com на 1% наиболее медленных соединений. Этот выигрыш ещё более заметен на видеосервисах вроде YouTube. Пользователи на 30% меньше жаловались на задержки из-за буферизации при просмотре видео при использовании QUIC.

Статистика Youtube особенно интересна. Если улучшения подобного масштаба действительно возможны, то мы увидим очень быструю адаптацию QUIC как-минимум в сфере видеосервисов вроде Vimeo, а также на рынке «видео для взрослых».

Выводы


Лично я нахожу протокол QUIC совершенно очаровательным! Огромный объём работы, проделанный его разработчиками, не пропал даром — один лишь факт того, что уже сегодня крупнейшие сайты в Интернете поддерживают QUIC, немного ошеломляет. Я жду не дождусь финальной спецификации QUIC, ну и дальнейшей её реализации всеми браузерами и веб-серверами.

Комментарий к статье от Jim Roskind, одного из разработчиков QUIC

Я потратил много лет на исследования, дизайн и разработку реализации протокола QUIC, и хотел бы добавить к статье кое-какие свои мысли. В тексте был верно подмечен момент о вероятной недоступности протокола QUIC у некоторых пользователей из-за строгих корпоративных политик в отношении протокола UDP. Это и было причиной того, что мы получили среднюю доступность протокола на уровне в 93%.

Если мы вернёмся немного в прошлое, то увидим что ещё совсем недавно корпоративные системы часто запрещали даже исходящий трафик к 80-му порту, с аргументацией «это уменьшит количество времени, которое работники тратят на серфинг в ущерб работе». Позже, как вы знаете, преимущества доступа к веб-сайтам (в том числе в производственных целях) вынудило большинство корпораций пересмотреть свои правила, разрешив выход в интернет с рабочего места рядового сотрудника. Я ожидаю чего-то аналогичного и с протоколом QUIC: как-только станет понятно, что с новым протоколом связь может быть быстрее, задачи выполняются оперативнее — он пробьёт себе путь и в энтерпрайз.

Я рассчитываю, что QUIC массово заместит собой TCP, и это даже помимо того, что он подарит следующей версии TCP ряд своих идей. Дело в том, что TCP реализуется в ядрах операционных систем, в железе, а значит адаптация к новой версии может занять 5-15 лет, в то время как внедрить QUIC поверх общедоступного и всеми поддерживаемого UDP можно в отдельно взятом продукте\сервисе буквально за несколько недель или месяцев.

Больше информации по теме:

Поделиться с друзьями
-->

Комментарии (20)


  1. Regis
    15.11.2016 13:27
    +11

    Извините меня, но «Блокировка начала строки» это что-то!

    Вот что получается, когда переводит человек, не имеющий понятия о теме.
    «Line» — может переводиться не только как «строка», но еще и как «очередь». И в статье речь идет о «блокировке начала очереди», а не строки. Могли бы уже и сами догадаться — там рядом столько картинок с очередями сообщений…


    1. tangro
      15.11.2016 23:00
      +3

      Я никогда не встречал этого термина в русском языке, посмотрел в Википедии — статьи такой в русском разделе нет, а гугл по «Head-of-line blocking» выдаёт именно ссылки на статьи с термином «Блокировка начала строки» (не знаю, кто их написал, но они есть) — ну вот так и получилось, надо же было на что-то опираться.

      Кроме того непонятно, зачем писать о «человеке, не имеющем понятия о теме» — в разделе с описанием ситуации что-то неверно написано, есть логические ошибки? Неверно переведено одно слово, что не есть трагедия.

      «Очередь» действительно подойдёт лучше, спасибо.


      1. Regis
        16.11.2016 01:19

        Мне почему-то гугл сразу выдал https://habrahabr.ru/post/221427/#comment_7548953
        Так что вы не первый и еще не так уж плохо перевели.


      1. trikadin
        18.11.2016 16:27

        Вы могли перевести просто как "линия") И "блокировка линии" — по-моему, вполне понятно.


  1. MagicGTS
    15.11.2016 14:12
    +1

    Вот еще вопрос, тема с proxy или любыми методами хотябы общего учета того, сколько трафика ходило на конкретные сайты, будет грубо и безвозвратно убита?


    1. Prototik
      16.11.2016 03:58

      Можно будет пассивно слушать QUIC трафик и вытягивать имена хостов (там ведь должно быть что-то вроде аналога SNI из TLS, правда?). Ну а объём трафика тоже посчитать будет не сложно — ведь есть connection id, по которому можно различать потоки. Осталось только реализовать поддержку всего этого счастья в софте.


  1. antstar
    15.11.2016 14:50
    -1

    … а еще в ТСР предусмотрена нумерация пакетов, поэтому пакеты могут приходить на хост в _произвольном_ порядке. Если какой-то пакет пропущен, то по истечении определенного тайм-аута он будет запрошен вновь. И задержка возникает именно из-за тайм-аутов, а не из-за того, что

    В протоколе TCP требуется, чтобы пакеты приходили (точнее обрабатывались) в правильном порядке
    , что не является истинной.


    1. tangro
      15.11.2016 23:04
      +1

      (точнее обрабатывались)


  1. Tujh
    15.11.2016 14:58
    +2

    Изящной фичей протокола QUIC является превентивная коррекция ошибок (Forward Error Correction, FEC).
    Которую удалили весной 2016 года, кажется.


    1. tangro
      15.11.2016 23:12

      Удалили текущую реализацию, которая не дала существенного прироста производительности, но не отказались от самой идеи: «Design of a new QUIC FEC approach has begun, with input from others who have had past success with FEC»


  1. robux
    15.11.2016 18:29

    Неужели «корпорация добра» старается во благо пользователей, а не для оптимизации работы DPI (deep packet inspection), например? Что-то верится с трудом :)


    1. napa3um
      15.11.2016 21:05

      Не (только) для инспекции, а для гарантии отгрузки рекламного контента.


    1. shifttstas
      22.11.2016 13:17

      С помощью http/2 они тоже dpi оптимизировали?


  1. dkachan
    15.11.2016 23:13
    +1

    Может быть скорость установления соединения и будет выше, но, кажется, производительность не будет увеличена:
    Старые измерения, когда еще был FEC.
    Свежие измерения после выключения FEC.


  1. orthanner
    17.11.2016 07:55

    Мой внутренний сисадмин изрядно дёрнулся и подумал, как же теперь настраивать блокировки. Раньше как было:


    block in log
    block in log quick on $ext_if proto tcp from <blacklist> to self port http
    pass in on $ext_if proto tcp from any to self port http

    А тут так не получится. Плюс я плохо представляю, как теперь защищаться от UDP-флуда. Это ж какой простор для DDoS!


  1. Stray392
    17.11.2016 12:03

    Интересно насколько безболезненным будет внедрение и не породит ли это новые уязвимости.


  1. bexp
    17.11.2016 12:04
    +2

    Спасибо автору за статью (перевод).

    От себя хотел добавить несколько малоизвестных фактов о QUIC которые на мой взгляд могут быть интересны аудитории Хабра. Могу так же скромно упомянуть что имел возможность лично встретится с Джимом и задать ему несколько вопросов.

    1. Несмотря на то что Jim Roskind является так называемым 'отцом' протокола его имя так и не включили в финальный RFC документ https://tools.ietf.org/html/draft-tsvwg-quic-protocol-00.

    В итоге из-за этого и других внутриполитических баталий Джим недавно ушел из гугла и теперь он в Амазоне.

    2. Протокол был изначально разработан внутри Chromium team и по сей день использование его ограничено только
    хромом с клиентской стороны и гугло-сервисами со стороны бэкенда. Широкой поддержки за пределами гугла пока не видно. Казалось бы, гугл имея такую платформу как Android мог бы поддержать QUIC для мобильных приложений либо через стандартный HTTP API или отдельной библиотекой как впрочем и выпустить что-то для iOS, но воз и ныне там. В итоге все что мы имеем это каша open source из проекта Chromium с завязкой на кучу разных библиотек
    из которых практический невозможно выделить отдельную клиентскую библиотеку, хотя уже есть попытка это сделать

    https://github.com/google/proto-quic

    3. Индустрия не стоит на месте и некоторые стартапы предлагают свои решения для мобильных платформ.
    Например PacketZoom предоставляет CDN сервис для мобильных приложений на основе проприетарного UDP протокола который имеет схожие с QUIC характеристики и легко интегрируется посредством SDK в мобильное приложение. Так же можно использовать сервис в качестве прокси для динамического контента, например API запросов. Из-за отсутствия лишних раундтрипов как в случае с TCP/IP/ и SSL,TLS скорость выполнения запроса получается в разы выше, а смена IP адреса при переходе между разными типами сетей так же не влияет на продолжение сессии.


    1. Tujh
      17.11.2016 12:27

      из которых практический невозможно выделить отдельную клиентскую библиотеку

      Корейцы давно уже выделили, правда обновляется не сильно оперативно.


  1. EvilFox
    18.11.2016 02:15

    В тему. Недавно случайно наткнулся на такое: http://http-ss.com/


  1. Fedcomp
    18.11.2016 17:56

    Совсем непонятно как веб сервер будет защищаться от потока udp траффика который инициирует новое соединение. Мало того что он канал забьет, так еще и пул подключений быстро заполнится.