Názory k článku
Nginx má experimentální podporu pro QUIC a HTTP/3

Skoro se mi to zdá až dost málo dopracované na to, jak dlouho už anoncují práci na podpoře. Ale věřím, že to pak budou mít dotažené dobře. Těším se na to.

Proč jsou z toho všichni tak nadšený ? Opravdu chceme, aby většina datového provozu byla UDP a ne TCP ? Tohle je zlý sen pro každého network admina ...

Protože tím aspoň trochu kompenzujeme nabobtnání všech protokolů za poslední roky.

UDP není zas takový zlý sen, a QUIC už dlouho některé významné weby používají. Na IPv6 to půjde zcela hladce. Na IPv4 budou muset adminové UDP propustit (a když ne, tak to spadne na HTTP/2).

na TCP se toho přeneslo poslední dobou příliš moc a nevím jak ty, občas s tím laděním také dost zápasím a není snadné to spravovat a vyřešit tam všechny neduhy, aby to dobře fungovalo uživatelům.

Než diskuze UDP/TCP mi vadí, že prohlížeč musí implementovat protokol nad UDP a tak jako správce přicházím o kontrolu, každý prohlížeč to může mít trochu jinak, při aktualizaci prohlížeče se bude také aktualizovat protokol, monitorovat tohle (z hlediska spojení, ne obsahu) je také oříšek.

> prohlížeč musí implementovat protokol nad UDP

QUIC je v podstatě takový složitější TCP, takže předpokládám, že bude referenční implementace a knihovna a tu budou používat ostatní prohlížeče. Můžou se samozřejmě lišit verze protokolu, ale to není závislé na prohlížeči.

UDP na svých serverech blokuju, protože přes něj chodí jen DDOS.

Tak to je smutný příběh. Mně po UDP chodí spousta legitimního provozu. Namátkou: DNS, OpenVPN, WireGuard, NTP, SNMP a dneska i web (QUIC).

Aktuálně když se podívám na data z nějakého většího boxu, tak UDP provoz ( pokud to neni útok ) nedělá ani 1% provozu. Pokud se QUIC masově rozšíří a bude ten poměr třeba 50:50, tak si dovedu představit že spousta síťových prvků to prostě nedá, protože na takové prostředí jednoduše nebyly navrženy. Jsem docela zvědavej co za problémy to přinese ... o tom že nějaké budou vůbec nepochybuju.

mně chodí DDoS i po TCP, asi po tvém vzoru ho také zakážu a bude útokům útrum. Jaké servery vůbec provozuješ?

Ty, o které se starám já zažívají tak silné DDoS, že nestačí linka k serverům a musíme to blokovat na firewall daleko před nimi, tam mi moc zákazů nepomůže, ucpat linku totiž můžeš bez ohledu na to, jestli jsi na server nějaký port/protokol zakázal nebo ne.

Provozuju weby + spousta menších služeb a ddosy chodí denně už asi 6 let a přes TCP se mi ještě nestalo, že by mi zaplnili linku (max 200mbit). Zato přes UDP běžně chodí 500mbit až 20Tbit . Převážně z českých DNS serverů + čína, USA.