The Cloudflare Blog
·
保护QUIC免受基于确认的DDoS攻击
💡
原文英文,约2300词,阅读约需9分钟。
📝
内容提要
2025年4月10日,Cloudflare收到安全研究人员报告的QUIC协议ACK处理漏洞,影响quiche库,可能导致DDoS攻击。Cloudflare迅速修复,未发现客户受影响。修复措施包括ACK范围验证和防止乐观ACK攻击的动态跳过频率。
🎯
关键要点
- 2025年4月10日,Cloudflare收到安全研究人员报告的QUIC协议ACK处理漏洞,影响quiche库,可能导致DDoS攻击。
- Cloudflare迅速修复了漏洞,未发现客户受影响,修复措施包括ACK范围验证和防止乐观ACK攻击的动态跳过频率。
- QUIC是一个互联网传输协议,提供与TCP和TLS相当的功能,依赖于数据包确认(ACK)来确保网络的公平使用。
- ACK是互联网协议的重要信号源,Cloudflare的quiche实现缺乏ACK范围验证,导致可能被恶意用户利用。
- 为了确保公平性和性能,每个端点使用拥塞控制算法,QUIC允许端点编码ACK延迟以优化ACK处理。
- 缺乏ACK验证使得客户端可以发送未发送数据包的ACK范围,修复措施是基于服务器发送的最大数据包进行ACK范围验证。
- 乐观ACK攻击通过预测和预先发送ACK来使服务器以高速度发送数据,Cloudflare通过跳过数据包来防止此类攻击。
- QUIC协议允许跳过数据包以检测乐观ACK攻击,跳过频率需要根据发送速率动态调整,以有效缓解攻击。
- Cloudflare在2025年5月完成了基础设施的修复,并发布了新的quiche版本。
- 感谢Louis Navarre和Olivier Bonaventure通过Cloudflare Bug Bounty Program负责任地披露此问题,帮助识别和缓解漏洞。
➡️
