QUIC est un protocole de transport relativement nouveau. Dans une attaque DDoS QUIC flood, un attaquant cible un serveur avec un volume de trafic QUIC écrasant.
Cet article s'articule autour des points suivants :
Contenu associé
Attaque ACK flood
Atténuation DDoS
Comment DDoS | Outils d’attaque DoS et DDoS
Attaque DDoS Memcached
Qu'est-ce qu'une attaque DDoS ?
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Le protocole QUIC est une nouvelle façon plus rapide, plus efficace et plus sécurisée d'envoyer des données sur Internet que les protocoles précédents. QUIC est un protocole de transport, ce qui signifie qu'il affecte la façon dont les données transitent sur Internet. Comme presque tout protocole Internet, QUIC peut être utilisé de manière malveillante pour effectuer des attaques DDoS.
En termes plus techniques, le protocole QUIC est un protocole de la couche transport qui peut théoriquement remplacer à la fois TCP (un protocole de transport) et TLS (un protocole de chiffrement). En juillet 2019, environ 3 % de tous les sites Web utilisaient QUIC et les partisans du protocole, y compris Cloudflare, nourrissaient l'espoir que les taux d'adoption continuent d'augmenter au fil du temps. La dernière version du protocole HTTP, HTTP/3, s'exécute en QUIC.
Le protocole QUIC vise à être à la fois plus rapide et plus sécurisé que les connexions Internet traditionnelles. Pour accroître sa vitesse, il utilise le protocole de transport UDP, qui est plus rapide que TCP mais moins fiable. Il envoie plusieurs flux de données à la fois pour compenser les données perdues en cours de route, une technique connue sous le nom de multiplexage.
Pour une meilleure sécurité, tout ce qui est envoyé en QUIC est automatiquement chiffré. Normalement, les données doivent être envoyées en HTTPS pour être chiffrées. Mais QUIC intègre le chiffrement TLS dans le processus de communication normal.
Ce chiffrement intégré accélère encore le protocole. En HTTPS typique, un handshake TCP en trois étapes (le three-way handshake) doit être effectuée au niveau de la couche transport avant que le handshake TLS à plusieurs étapes puisse commencer. Tout cela doit se produire avant que toute donnée réelle puisse être envoyée entre le client et le serveur. QUIC combine ces deux handshakes pour qu'ils se produisent en même temps : le client et le serveur reconnaissent que la connexion est ouverte et génèrent conjointement les clés de chiffrement TLS en même temps.
Une attaque DDoS QUIC flood survient lorsqu'une personne malveillante lance une attaque par déni de service en submergeant un serveur ciblé de données envoyées en QUIC. Le serveur victime doit traiter toutes les données QUIC qu'il reçoit, ce qui ralentit le service pour les utilisateurs légitimes et, dans certains cas, rend complètement indisponible le serveur. Les attaques DDoS en QUIC sont difficiles à bloquer car :
Une attaque QUIC flood peut reposer sur un certain nombre de méthodes, mais le protocole QUIC est particulièrement vulnérable aux attaques DDoS par réflexion.
Dans une attaque DDoS par réflexion, l'attaquant usurpe l'adresse IP de la victime et demande des informations à plusieurs serveurs. Lorsque les serveurs répondent, toutes les informations sont transmises à la victime plutôt qu'à l'attaquant. Imaginez qu'une personne malveillante envoie des lettres avec une adresse d'expéditeur de quelqu'un d'autre, de sorte que cette deuxième personne croule sous les courriers indésirable.
Avec le protocole QUIC, il est possible d'effectuer des attaques par réflexion en utilisant le message initial « hello » qui démarre une connexion QUIC. Contrairement à une connexion TCP, une connexion QUIC ne s'ouvre pas lorsque le serveur envoie un simple message « ACK ». Étant donné que QUIC combine le protocole de transport UDP avec le chiffrement TLS, le serveur inclut son certificat TLS dans sa première réponse au client. Cela signifie que le premier message du serveur est beaucoup plus grand que le premier message du client. En usurpant l'adresse IP de la victime et en envoyant un message « hello » à un serveur, l'attaquant incite le serveur à envoyer de grandes quantités de données indésirables à la victime.
Pour atténuer partiellement ce type d'attaque, les architectes du protocole QUIC ont défini une taille minimale pour le message de bienvenue du client initial afin qu'il en coûte à l'attaquant une bande passante considérable pour envoyer une grande quantité de faux messages « hello » au client. Cependant, le message « hello » du serveur reste plus grand que le message « hello » du client, donc une attaque de ce type reste une possibilité.
Une attaque UDP flood est un type d'attaque DDoS qui submerge un serveur ciblé avec des paquets UDP indésirables. QUIC utilise UDP, mais une attaque QUIC flood n'est pas nécessairement la même qu'une attaque UDP flood.
Une façon pour une attaque UDP flood d'éliminer un serveur cible consiste à envoyer des paquets UDP usurpés à un port spécifique sur un serveur qui n'est pas réellement utilisé. Le serveur doit répondre à tous les paquets avec un message d'erreur ICMP, ce qui prend de la puissance de traitement et ralentit le serveur. Cette attaque serait possible en utilisant QUIC, mais il est généralement moins coûteux pour l'attaquant de l'exécuter uniquement en UDP, sans avoir besoin de générer des paquets QUIC.
Cloudflare atténue une grande variété d'attaques DDoS, y compris les inondations QUIC. Le réseau mondial de Cloudflare, qui s'étend sur 330 villes dans plus de 120 pays, est suffisamment vaste pour absorber et atténuer les attaques DDoS les plus importantes jamais enregistrées. En savoir plus sur les attaques DDoS.