QUIC внутри: докажи на проводе

Запусти HTTP/3 (QUIC)-сервер и базовый TCP/HTTP-2 и подготовь отчёт с доказательствами на проводе, демонстрирующий пять ключевых механизмов юнита и квантифицирующий компромисс QUIC CPU-против-задержки — каждое утверждение подкреплено захватом, трассой или измерением.

• Подними HTTP/3-сервер на production-стеке QUIC (Cloudflare quiche, nginx + HTTP/3, Caddy или Go/Rust QUIC-библиотека) и эквивалентный базовый HTTP/2-over-TLS на том же хосте, оба за сертификатами TLS 1.3.
• Захвати свежее рукопожатие QUIC через qlog (RFC 9312) или трассу пакетов и аннотируй её: определи пакеты Initial, Handshake и 1-RTT, CRYPTO-фреймы и докажи, что клиент отправил данные stream'а ровно через один round-trip — затем захвати базовый TCP+TLS и покажи, что ему потребовалось два.
• Открой хотя бы три параллельных stream'а на одном QUIC-соединении, внеси ~1% потерь пакетов на путь (tc netem или эквивалент) и покажи в трассе, что потеря STREAM-фрейма на одном stream'е стопорит только его, пока остальные продолжают доставку. Повтори по HTTP/2 и покажи, что стопорятся все stream'ы.
• Продемонстрируй connection migration: начни передачу, смени source-адрес клиента (rebind сокета или переключение интерфейса) и захвати тот же Connection ID, приходящий с нового адреса, плюс обмен PATH_CHALLENGE/PATH_RESPONSE сервера. Подтверди, что передача продолжается без нового рукопожатия.
• Включи 0-RTT-resumption и продемонстрируй риск replay: захвати 0-RTT Initial, несущий запрос, переиграй захваченный пакет и покажи, что сервер обрабатывает его дважды. Затем реализуй защиту (только идемпотентный 0-RTT плюс 425 Too Early для неидемпотентного маршрута) и покажи отклонённый replay.
• Замерь CPU-цену: гони оба сервера на высоком битрейте по быстрому loopback или LAN-линку, запиши пер-байтовую CPU QUIC и goodput против базового TCP, затем включи UDP GSO и перемерь, чтобы квантифицировать восстановление.
• Проверь fallback при блокировке UDP: задропай UDP 443 на пути и подтверди, что клиент откатывается на HTTP/2 поверх TCP (Alt-Svc-racing или явный fallback), измерив добавленную задержку до победы TCP.

• Аннотированный артефакт рукопожатия (qlog или трасса), показывающий QUIC на 1 RTT и TCP+TLS на 2 RTT до первого байта приложения, с отмеченными round-trip'ами.
• Сравнение с инъекцией потерь: трасса или метрика, доказывающая, что QUIC стопорит только потерянный stream, пока HTTP/2 стопорит все при тех же потерях, с указанными временами пер-stream-задержки.
• Захват миграции, показывающий один Connection ID на двух source-адресах плюс пару PATH_CHALLENGE/PATH_RESPONSE, и подтверждение, что повторного рукопожатия не было.
• До/после для защиты 0-RTT: переигранный запрос, выполняющийся дважды без защиты, и отклонённый (или 425 Too Early) с ней.
• Таблица CPU-против-goodput: QUIC и TCP на одном битрейте, QUIC с UDP GSO и без, с пер-байтовым CPU-оверхедом и восстановлением от GSO в процентах.
• Одностраничная рекомендация по развёртыванию, называющая, какие пути (WAN/mobile vs быстрый LAN) должны бежать на QUIC, а какие на TCP, обоснованная твоими числами по рукопожатию, потерям и CPU.