QUIC 是一種相對較新的傳輸通訊協定。在 QUIC 洪水 DDoS 攻擊中,攻擊者將大量 QUIC 流量傳送到目標伺服器以使其不堪重負。
閱讀本文後,您將能夠:
複製文章連結
QUIC 通訊協定是透過網際網路傳送資料的新方式,比先前的通訊協定更快、更有效率且更安全。QUIC 是一種傳輸通訊協定,這意味著它會影響資料在網際網路上傳輸的方式。與幾乎所有網際網路通訊協定一樣,QUIC 也可以被惡意使用來執行 DDoS 攻擊。
以更專業的詞彙來說,QUIC 通訊協定是一種傳輸層通訊協定,理論上可以同時取代 TCP(一種傳輸通訊協定)和 TLS(一種加密通訊協定)。2019 年 7 月,所有網站中大約 3% 在使用 QUIC,該通訊協定的擁護者(包括 Cloudflare 在內)希望採用率會隨著時間流逝而繼續上升。最新版本的 HTTP 通訊協定 (HTTP/3) 透過 QUIC 執行。
QUIC 通訊協定的目標是比傳統的網際網路連線更快、更安全。為了提高速度,它使用 UDP 傳輸通訊協定,該通訊協定比 TCP 更快,但沒那麼可靠。它一次傳送多個資料流,以彌補沿途丟失的任何資料,這種技術稱為多工。
為了提高安全性,透過 QUIC 傳送的所有內容都會自動加密。通常,資料必須透過 HTTPS 傳送才會加密。但是,QUIC 在正常的通訊過程中建立了 TLS 加密。
這種內建加密技術可以進一步加快通訊協定的速度。在典型的 HTTPS 中,必須先在傳輸層完成三向 TCP 交握,才能開始多步驟 TLS 交握。完成這一切後,才能在用戶端和伺服器之間傳送任何實際的資料。QUIC 組合了這兩次交握,使它們一次性全部完成:用戶端和伺服器確認連線已開啟,並同時產生 TLS 加密金鑰。
QUIC 洪水 DDoS 攻擊是指攻擊者試圖使用透過 QUIC 傳送的資料來壓垮目標伺服器,從而拒絕服務。受害伺服器必須處理收到的所有 QUIC 資料,從而減慢對合法使用者的服務速度,在某些情況下甚至會導致伺服器完全崩潰。透過 QUIC 進行的 DDoS 攻擊難以封鎖,因為:
QUIC 洪水攻擊可以使用多種方法進行,但 QUIC 通訊協定特別容易受到基於反射的 DDoS 攻擊。
在 DDoS 反射攻擊中,攻擊者假冒受害者的 IP 位址並從多個伺服器請求資訊。當伺服器回應時,所有資訊都傳送給受害者而不是攻擊者。想像一下,有人惡意用他人的回信地址寄送信件,讓後者不得不接收大量不必要的郵件。
使用 QUIC 通訊協定時,可以透過啟動 QUIC 連線的初始「hello」訊息進行反射攻擊。與 TCP 連線不同,QUIC 連線開啟時伺服器不會傳送簡單的「ACK」訊息。由於 QUIC 將 UDP 傳輸通訊協定與 TLS 加密相結合,因此伺服器在對用戶端的第一次回覆中附帶了其 TLS 憑證。這意味著伺服器的第一條訊息要比用戶端的第一條訊息大得多。通過假冒受害者的 IP 位址並向伺服器傳送「hello」訊息,攻擊者誘使伺服器向受害者傳送大量不需要的資料。
為了部分緩解這種類型的攻擊,QUIC 通訊協定的架構師為初始用戶端 hello 訊息設定了最小大小,以使攻擊者需要大量頻寬才能傳送許多虛假用戶端 hello 訊息。但是,伺服器 hello 訊息仍然大於用戶端 hello 訊息,因此仍然有發生這種攻擊的可能。
UDP 洪水是一種 DDoS 攻擊,攻擊者用不需要的 UDP 封包壓垮目標伺服器。QUIC 使用 UDP,但是 QUIC 洪水不一定與 UDP 洪水相同。
UDP 洪水沖垮目標伺服器的一種方法是,將偽造的 UDP 封包傳送到伺服器上未實際使用的特定連接埠。伺服器必須使用 ICMP 錯誤訊息來回覆所有封包,這會佔用處理能力並減慢伺服器速度。可以使用 QUIC 來進行這種攻擊,但對於攻擊者來說,單純透過 UDP 進行攻擊的成本通常更低,無需產生 QUIC 封包的額外開支。
Cloudflare 可緩解各種 DDoS 攻擊,包括 QUIC 洪水。Cloudflare 全球網路覆蓋超過 100 個國家/地區的 300 座城市,足以承受和緩解有記錄以來最大的 DDoS 攻擊。進一步瞭解 DDoS 攻擊。