Qu'est-ce qu'une attaque DDoS QUIC flood ? | Attaque QUIC flood et UDP flood

QUIC est un protocole de transport relativement nouveau. Dans une attaque DDoS QUIC flood, un attaquant cible un serveur avec un volume de trafic QUIC écrasant.

Share facebook icon linkedin icon twitter icon email icon

QUIC Flood

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre comment fonctionne QUIC
  • Apprendre comment les attaquants peuvent abuser du protocole QUIC dans une attaque DDoS
  • Comparer les attaques QUIC flood et UDP flood

Qu'est-ce que le protocole QUIC ?

Le protocole QUIC est une nouvelle façon plus rapide, plus efficace et plus sécurisée d'envoyer des données sur Internet que les protocoles précédents. QUIC est un protocole de transport, ce qui signifie qu'il affecte la façon dont les données transitent sur Internet. Comme presque tout protocole Internet, QUIC peut être utilisé de manière malveillante pour effectuer des attaques DDoS.

En termes plus techniques, le protocole QUIC est un protocole de la couche transport qui peut théoriquement remplacer à la fois TCP (un protocole de transport) et TLS (un protocole de chiffrement ). En Juillet 2019, environ 3 % de tous les sites utilisaient QUIC et les partisans du protocole, y compris Cloudflare, nourissaient l'espoir que les taux d'adoption continuent d'augmenter au fil du temps. La dernière version du protocole HTTP, HTTP/3, s'exécute en QUIC.

Comment fonctionne le protocole QUIC ?

Le protocole QUIC vise à être à la fois plus rapide et plus sécurisé que les connexions Internet traditionnelles. Pour accroître sa vitesse, il utilise le protocole de transport UDP, qui est plus rapide que TCP mais moins fiable. Il envoie plusieurs flux de données à la fois pour compenser les données perdues en cours de route, une technique connue sous le nom de multiplexage.

Pour une meilleure sécurité, tout ce qui est envoyé en QUIC est automatiquement chiffré. Normalement, les données doivent être envoyées en HTTPS pour être chiffrées. Mais QUIC intègre le chiffrement TLS dans le processus de communication normal.

Ce chiffrement intégré accélère encore le protocole. En HTTPS typique, un handshake TCP en trois étapes (le three-way handshake) doit être effectuée au niveau de la couche transport avant que le handshake TLS à plusieurs étapes puisse commencer. Tout cela doit se produire avant que toute donnée réelle puisse être envoyée entre le client et le serveur. QUIC combine ces deux handshakes pour qu'ils se produisent en même temps : le client et le serveur reconnaissent que la connexion est ouverte et génèrent conjointement les clés de chiffrement TLS en même temps.

Qu'est-ce qu'une attaque QUIC flood ?

Une attaque DDoS QUIC flood survient lorsqu'une personne malveillante lance une attaque par déni de service en submergeant un serveur ciblé de données envoyées en QUIC. Le serveur victime doit traiter toutes les données QUIC qu'il reçoit, ce qui ralentit le service pour les utilisateurs légitimes et, dans certains cas, rend complètement indisponible le serveur. Les attaques DDoS en QUIC sont difficiles à bloquer car :

  • QUIC utilise l'UDP, qui fournit très peu d'informations au destinataire des paquets qu'il peut utiliser pour bloquer les paquets
  • QUIC chiffre les données par paquets de sorte que le destinataire des données ne peut pas facilement dire si elles sont légitimes ou non

Une attaque QUIC flood peut reposer sur un certain nombre de méthodes, mais le protocole QUIC est particulièrement vulnérable aux attaques DDoS par réflexion.

Qu'est-ce qu'une attaque par réflexion QUIC ?

Dans une attaque DDoS par réflexion, l'attaquant usurpe l'adresse IP de la victime et demande des informations à plusieurs serveurs. Lorsque les serveurs répondent, toutes les informations sont transmises à la victime plutôt qu'à l'attaquant. Imaginez qu'une personne malveillante envoie des lettres avec une adresse d'expéditeur de quelqu'un d'autre, de sorte que cette deuxième personne croule sous les courriers indésirable.

Avec le protocole QUIC, il est possible d'effectuer des attaques par réflexion en utilisant le message initial « hello » qui démarre une connexion QUIC. Contrairement à une connexion TCP, une connexion QUIC ne s'ouvre pas lorsque le serveur envoie un simple message « ACK ». Étant donné que QUIC combine le protocole de transport UDP avec le chiffrement TLS, le serveur inclut son certificat TLS dans sa première réponse au client. Cela signifie que le premier message du serveur est beaucoup plus grand que le premier message du client. En usurpant l'adresse IP de la victime et en envoyant un message « hello » à un serveur, l'attaquant incite le serveur à envoyer de grandes quantités de données indésirables à la victime.

Pour atténuer partiellement ce type d'attaque, les architectes du protocole QUIC ont défini une taille minimale pour le message de bienvenue du client initial afin qu'il en coûte à l'attaquant une bande passante considérable pour envoyer une grande quantité de faux messages « hello » au client. Cependant, le message « hello » du serveur reste plus grand que le message « hello » du client, donc une attaque de ce type reste une possibilité.

Les attaques QUIC flood sont-elles similaires aux attaques UDP flood ?

Une attaque UDP flood est un type d'attaque DDoS qui submerge un serveur ciblé avec des paquets UDP indésirables. QUIC utilise UDP, mais une attaque QUIC flood n'est pas nécessairement la même qu'une attaque UDP flood.

Une façon pour une attaque UDP flood d'éliminer un serveur cible consiste à envoyer des paquets UDP usurpés à un port spécifique sur un serveur qui n'est pas réellement utilisé. Le serveur doit répondre à tous les paquets avec un message d'erreur ICMP, ce qui prend de la puissance de traitement et ralentit le serveur. Cette attaque serait possible en utilisant QUIC, mais il est généralement moins coûteux pour l'attaquant de l'exécuter uniquement en UDP, sans avoir besoin de générer des paquets QUIC.

Cloudflare bloque-t-il les attaques DDoS QUIC flood ?

Cloudflare atténue une grande variété d'attaques DDoS, y compris les attaques QUIC flood. Le réseau mondial mondial Cloudflare, qui s'étend sur % {} DataCenterCount villes dans plus de % {} CountryCount pays, est assez vaste pour absorber et atténuer même les plus grandes attaques DDoS enregistrées. En savoir plus sur les attaques DDoS .