Was ist ein DDoS-Angriff per QUIC-Flood? | QUIC- und UDP-Floods

QUIC ist ein relativ neues Transportprotokoll. Bei einem DDoS-Angriff mit QUIC-Flood versucht ein Angreifer einen Server mit einer gewaltigen Menge QUIC-Traffic zu überlasten.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Die Funktionsweise von QUIC verstehen
  • Erfahren, wie Angreifer QUIC bei einem DDoS-Angriff missbrauchen können
  • QUIC-Floods mit UDP-Floods vergleichen

Link zum Artikel kopieren

Was ist das QUIC-Protokoll?

Das QUIC-Protokoll ist eine neue Methode zum Versand von Daten über das Internet. Es ist schneller, effizienter und sicherer als frühere Protokolle. QUIC ist ein Transportprotokoll, es betrifft also die Art der Übertragung von Daten über das Internet. Wie fast jedes Internetprotokoll kann QUIC zur Ausführung von DDoS-Angriffen missbraucht werden.

Aus technischer Sicht ist das QUIC-Protokoll ein Protokoll der Transportebene, das theoretisch sowohl TCP (ein Transportprotokoll) als auch TLS (ein Verschlüsselungsprotokoll) ersetzen kann. Im Juli 2019 wurde für etwa 3 % aller Websites QUIC verwendet, und die Befürworter des Protokolls, auch Cloudflare, hoffen, dass die Akzeptanz im Laufe der Zeit weiter steigt. Die neueste Version des HTTP-Protokolls, HTTP/3, läuft über QUIC.

Wie funktioniert das QUIC-Protokoll?

Das QUIC-Protokoll soll sowohl schneller als auch sicherer sein als herkömmliche Internetverbindungen. Um mehr Geschwindigkeit zu erreichen, verwendet es das Transportprotokoll UDP. Dies ist schneller als TCP, aber auch weniger zuverlässig. Bei UDP werden mehrere Datenströme gleichzeitig gesendet, um unterwegs verlorene Daten wiederherstellen zu können. Diese Technik wird als Multiplexing bezeichnet.

Alle über QUIC gesendeten Daten werden für mehr Sicherheit automatisch verschlüsselt. Normalerweise müssen Daten über HTTPS gesendet werden, damit sie verschlüsselt sind. Bei QUIC wird die TLS-Verschlüsselung jedoch in den normalen Kommunikationsprozess integriert.

Durch diese integrierte Verschlüsselung ist das Protokoll noch schneller. Bei typischem HTTPS muss ein dreistufiger TCP-Handshake im Transport Layer durchgeführt werden, bevor der mehrstufige TLS-Handshake beginnen kann. Erst dann können tatsächlich Daten zwischen Client und Server gesendet werden. Bei QUIC werden diese beiden Handshakes so kombiniert, dass alle gleichzeitig stattfinden: Der Client und der Server bestätigen, dass die Verbindung offen ist, und erzeugen gleichzeitig TLS-Verschlüsselungsschlüssel.

Was ist eine QUIC-Flood?

Ein DDoS-Angriff in Form einer QUIC-Flood liegt vor, wenn ein Angreifer versucht, durch Überlastung eines Zielservers mit über QUIC gesendeten Daten einen Dienst lahmzulegen. Der betroffene Server muss alle empfangenen QUIC-Daten verarbeiten, wodurch der Dienst für echte Benutzer langsamer wird und manchmal der ganze Server abstürzt. DDoS-Angriffe über QUIC sind schwer zu blockieren, denn:

  • QUIC verwendet UDP, und UDP liefert dem Paketempfänger nur sehr wenige Informationen, mit denen er die Pakete blockieren kann.
  • Bei QUIC werden die Paketdaten verschlüsselt, sodass der Empfänger der Daten nicht leicht erkennen kann, ob sie legitim sind oder nicht.

Es gibt verschiedene Methoden für einen QUIC-Flood-Angriff. Das QUIC-Protokoll ist jedoch besonders anfällig für DDoS-Angriffe mit der „Reflection“-Technik.

Was ist ein QUIC-Reflection-Angriff?

Bei einem Reflection-DDoS-Angriff missbraucht der Angreifer die IP-Adresse des Opfers für Anfragen bei mehreren Servern. Wenn die Server antworten, gehen alle Daten an das Opfer und nicht an den Angreifer. Stellen Sie sich vor, jemand verschickt böswillig Briefe mit der Absenderadresse eines anderen, sodass derjenige mit unerwünschter Post überhäuft wird.

Mit dem QUIC-Protokoll kann man Reflection-Angriffe über die erste „Hello“-Nachricht ausführen, mit der eine QUIC-Verbindung eingeleitet wird. Anders als bei einer TCP-Verbindung wird eine QUIC-Verbindung nicht dadurch geöffnet, dass der Server eine einfache „ACK“-Nachricht sendet. Da bei QUIC das UDP-Transportprotokoll mit der TLS-Verschlüsselung kombiniert wird, schickt der Server in seiner ersten Antwort an den Client das TLS-Zertifikat mit. Daher ist die erste Nachricht des Servers viel größer als die erste Nachricht des Clients. Wenn der Angreifer die IP-Adresse des Opfers missbraucht und damit eine „Hello“-Nachricht an einen Server sendet, veranlasst er den Server, große Mengen unerwünschter Daten an das Opfer zu senden.

Zur Bekämpfung dieser Art von Angriffen haben die Architekten des QUIC-Protokolls eine Mindestgröße für die anfängliche Hello-Nachricht vom Client festgelegt, sodass es den Angreifer beträchtliche Bandbreite kostet, eine große Anzahl gefälschter Client-Hello-Nachrichten zu senden. Das Server-Hello ist jedoch immer noch größer als das Client-Hello, sodass ein Angriff dieser Art weiterhin möglich ist.

Sind QUIC-Floods mit UDP-Floods vergleichbar?

Eine UDP-Flood ist eine Art DDoS-Angriff, bei dem ein Zielserver mit unerwünschten UDP-Paketen überlastet wird. QUIC verwendet zwar UDP, aber eine QUIC-Flood ist nicht unbedingt dasselbe wie eine UDP-Flood.

Eine UDP-Flood kann einen Zielserver zum Beispiel dadurch außer Gefecht setzen, dass manipulierte UDP-Pakete an einen bestimmten Port auf einem Server gesendet werden, der eigentlich nicht verwendet wird. Der Server muss auf alle Pakete mit einer ICMP-Fehlermeldung antworten, was Rechenleistung in Anspruch nimmt und den Server langsamer macht. Dieser Angriff wäre auch mit QUIC möglich, aber für den Angreifer ist es normalerweise günstiger, ihn nur über UDP durchzuführen, ohne den zusätzlichen Aufwand für QUIC-Pakete.

Blockiert Cloudflare DDoS-Angriffe per QUIC-Flood?

Cloudflare bekämpft eine Vielzahl von DDoS-Angriffen, auch QUIC-Floods. Das globale Cloudflare-Netzwerk mit über 310 Städten in mehr als 120 Ländern ist groß genug, um selbst die größten bisher verzeichneten DDoS-Angriffe zu absorbieren und zu bekämpfen. Hier finden Sie weitere Informationen über DDoS-Angriffe.