什么是 Quic 协议?
QUIC 协议是一种通过互联网发送数据的新方法,它比早期协议更加快速,高效和安全。QUIC 属于传输协议,这意味着它会影响数据在互联网上的传输方式。像几乎所有互联网协议一样,QUIC 可以被恶意用来进行 DDoS 攻击。
以更专业的术语来说,QUIC 协议是一种传输层协议,理论上可以取代 TCP(一种传输协议)和 TLS(一种加密协议)。2019 年 7 月,所有网站中大约 3% 在使用 QUIC,该协议的支持者希望采用率会随着时间流逝而继续上升。HTTP 协议的最新版本 HTTP/3 在 QUIC 的基础上运行。
QUIC 协议如何工作?
QUIC 协议的目标是比传统的互联网连接更快,更安全。为了提高速度,它使用 UDP 传输协议,此协议速度比 TCP 快,但可靠性不如后者。它一次发送多个数据流,以弥补沿途丢失的任何数据,这种技术称为多路复用。
为了提高安全性,通过 QUIC 发送的所有内容都会自动加密。通常,数据必须通过 HTTPS 发送数据才会被加密。但是,QUIC 将 TLS 加密构内建到普通的通信过程中。
这种内置加密进一步加快了协议的速度。在典型的 HTTPS 中,必须在传输层完成三向 TCP 握手,然后才能开始多步骤 TLS 握手。完成这一切后,才能在客户端和服务器之间发送任何实际的数据。QUIC 组合了这两个握手,使它们一次性全部完成:客户端和服务器确认连接已打开,并同时生成 TLS 加密密钥。
什么是 QUIC 洪水?
QUIC 洪水 DDoS 攻击是指攻击者试图通过使用 QUIC 发送的数据压垮目标服务器以拒绝服务。受害服务器被迫处理它收到的所有 QUIC 数据,从而减慢对合法用户的服务,并在某些情况下导致服务器完全崩溃。通过 QUIC 发动的 DDoS 攻击很难阻止,这是因为:
- QUIC 使用 UDP,为数据包接收方提供的信息非常少,不足以用来阻止数据包
- QUIC 对数据包数据进行加密,数据的接收方无法轻易辨别它是否合法
QUIC 洪水攻击可以使用多种方法来展开,但 QUIC 协议特别容易受到基于反射的 DDoS 攻击的破坏。
什么是 QUIC 洪水反射攻击?
在反射式 DDoS 攻击中,攻击者假冒受害者的 IP 地址并向多台服务器请求信息。当服务器做出响应时,所有信息将传递给受害者而非攻击者。想象一下,有人恶意用他人的回信地址寄送信件,让后者不得不接收大量不必要的邮件。
使用 QUIC 协议时,可以通过启动 QUIC 连接的初始“hello”消息发动进行反射攻击。与 TCP 连接不同,QUIC 连接打开时服务器不会发送简单的 ACK 消息。由于 QUIC 将 UDP 传输协议与 TLS 加密相结合,因此服务器在对客户端的第一次答复中附带了其 TLS 证书。这意味着服务器的第一条消息要比客户端的第一条消息大得多。通过假冒受害者的 IP 地址并向服务器发送“hello”消息,攻击者诱使服务器向受害者发送大量不需要的数据。
为了部分缓解这种类型的攻击,QUIC 协议的架构师为初始客户端问候消息设置了最小大小,以使攻击者需要大量带宽才能发送许多虚假客户端问候消息。但是,服务器问候消息仍然大于客户端问候消息,因此仍然有发生这种攻击的可能。
QUIC 洪水与 UDP 洪水是否相似?
UDP 洪水是一种 DDoS 攻击,使用不需要的 UDP 数据包压垮目标服务器。QUIC 使用UDP,但 QUIC 洪水不一定等同于 UDP 洪水。
UDP 洪水冲垮目标服务器的一种方法是,将伪造的 UDP 数据包发送到服务器上未实际使用的特定端口。服务器必须使用 ICMP 错误消息来答复所有数据包,这会占用处理能力并减慢服务器速度。可以使用 QUIC 来进行这种攻击,但对于攻击者来说,纯粹通过 UDP 进行攻击的成本通常较低,没有生成 QUIC 数据包的额外开销。
