QUIC 是一种相对较新的传输协议。在 QUIC 洪水 DDoS 攻击中,攻击者将大量 QUIC 流量传送到目标服务器以使其不堪重负。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
QUIC 协议是一种通过互联网发送数据的新方法,它比早期协议更加快速,高效和安全。QUIC 属于传输协议,这意味着它会影响数据在互联网上的传输方式。像几乎所有互联网协议一样,QUIC 可以被恶意用来进行 DDoS 攻击。
以更专业的术语来说,QUIC 协议是一种传输层协议,理论上可以取代 TCP(一种传输协议)和 TLS(一种加密协议)。2019 年 7 月,所有网站中大约 3% 在使用 QUIC,该协议的支持者(包括 Cloudflare 在内)希望采用率会随着时间流逝而继续上升。HTTP 协议的最新版本 HTTP/3 在 QUIC 的基础上运行。
QUIC 协议的目标是比传统的互联网连接更快,更安全。为了提高速度,它使用 UDP 传输协议,此协议速度比 TCP 快,但可靠性不如后者。它一次发送多个数据流,以弥补沿途丢失的任何数据,这种技术称为多路复用。
为了提高安全性,通过 QUIC 发送的所有内容都会自动加密。通常,数据必须通过 HTTPS 发送数据才会被加密。但是,QUIC 将 TLS 加密构内建到普通的通信过程中。
这种内置加密进一步加快了协议的速度。在典型的 HTTPS 中,必须在传输层完成三向 TCP 握手,然后才能开始多步骤 TLS 握手。完成这一切后,才能在客户端和服务器之间发送任何实际的数据。QUIC 组合了这两个握手,使它们一次性全部完成:客户端和服务器确认连接已打开,并同时生成 TLS 加密密钥。
QUIC 洪水 DDoS 攻击是指攻击者试图通过使用 QUIC 发送的数据压垮目标服务器以拒绝服务。受害服务器被迫处理它收到的所有 QUIC 数据,从而减慢对合法用户的服务,并在某些情况下导致服务器完全崩溃。通过 QUIC 发动的 DDoS 攻击很难阻止,这是因为:
QUIC 洪水攻击可以使用多种方法来展开,但 QUIC 协议特别容易受到基于反射的 DDoS 攻击的破坏。
在反射式 DDoS 攻击中,攻击者假冒受害者的 IP 地址并向多台服务器请求信息。当服务器做出响应时,所有信息将传递给受害者而非攻击者。想象一下,有人恶意用他人的回信地址寄送信件,让后者不得不接收大量不必要的邮件。
使用 QUIC 协议时,可以通过启动 QUIC 连接的初始“hello”消息发动进行反射攻击。与 TCP 连接不同,QUIC 连接打开时服务器不会发送简单的 ACK 消息。由于 QUIC 将 UDP 传输协议与 TLS 加密相结合,因此服务器在对客户端的第一次答复中附带了其 TLS 证书。这意味着服务器的第一条消息要比客户端的第一条消息大得多。通过假冒受害者的 IP 地址并向服务器发送“hello”消息,攻击者诱使服务器向受害者发送大量不需要的数据。
为了部分缓解这种类型的攻击,QUIC 协议的架构师为初始客户端问候消息设置了最小大小,以使攻击者需要大量带宽才能发送许多虚假客户端问候消息。但是,服务器问候消息仍然大于客户端问候消息,因此仍然有发生这种攻击的可能。
UDP 洪水是一种 DDoS 攻击,使用不需要的 UDP 数据包压垮目标服务器。QUIC 使用UDP,但 QUIC 洪水不一定等同于 UDP 洪水。
UDP 洪水冲垮目标服务器的一种方法是,将伪造的 UDP 数据包发送到服务器上未实际使用的特定端口。服务器必须使用 ICMP 错误消息来答复所有数据包,这会占用处理能力并减慢服务器速度。可以使用 QUIC 来进行这种攻击,但对于攻击者来说,纯粹通过 UDP 进行攻击的成本通常较低,没有生成 QUIC 数据包的额外开销。
Cloudflare 可以缓解各种各样的 DDoS 攻击,包括 QUIC 洪水在内。Cloudflare 全球网络遍布超过 120 国家/地区的 330 个城市,其规模甚至足以吸收和缓解规模最大的 DDoS 攻击。了解有关 DDoS 攻击的更多信息。