The Cloudflare Blog
·
保护QUIC免受基于确认的DDoS攻击
💡
原文英文,约2300词,阅读约需9分钟。
📝
内容提要
2025年4月10日,Cloudflare收到安全研究人员报告的QUIC协议ACK处理漏洞,影响quiche库,可能导致DDoS攻击。Cloudflare迅速修复,未发现客户受影响。修复措施包括ACK范围验证和防止乐观ACK攻击的动态跳过频率。
🎯
关键要点
- 2025年4月10日,Cloudflare收到安全研究人员报告的QUIC协议ACK处理漏洞,影响quiche库,可能导致DDoS攻击。
- Cloudflare迅速修复了漏洞,未发现客户受影响,修复措施包括ACK范围验证和防止乐观ACK攻击的动态跳过频率。
- QUIC是一个互联网传输协议,提供与TCP和TLS相当的功能,依赖于数据包确认(ACK)来确保网络的公平使用。
- ACK是互联网协议的重要信号源,Cloudflare的quiche实现缺乏ACK范围验证,导致可能被恶意用户利用。
- 为了确保公平性和性能,每个端点使用拥塞控制算法,QUIC允许端点编码ACK延迟以优化ACK处理。
- 缺乏ACK验证使得客户端可以发送未发送数据包的ACK范围,修复措施是基于服务器发送的最大数据包进行ACK范围验证。
- 乐观ACK攻击通过预测和预先发送ACK来使服务器以高速度发送数据,Cloudflare通过跳过数据包来防止此类攻击。
- QUIC协议允许跳过数据包以检测乐观ACK攻击,跳过频率需要根据发送速率动态调整,以有效缓解攻击。
- Cloudflare在2025年5月完成了基础设施的修复,并发布了新的quiche版本。
- 感谢Louis Navarre和Olivier Bonaventure通过Cloudflare Bug Bounty Program负责任地披露此问题,帮助识别和缓解漏洞。
❓
延伸问答
QUIC协议的ACK处理漏洞是什么?
QUIC协议的ACK处理漏洞是指quiche库缺乏ACK范围验证,可能导致DDoS攻击,攻击者可以发送未发送数据包的ACK范围。
Cloudflare是如何修复QUIC的ACK处理漏洞的?
Cloudflare通过实施ACK范围验证和动态跳过频率来修复漏洞,确保服务器只处理有效的ACK。
什么是乐观ACK攻击?
乐观ACK攻击是指攻击者预测并预先发送ACK,以使服务器以高速度发送数据,从而造成不公平的网络使用。
QUIC协议如何确保网络公平性?
QUIC协议通过使用拥塞控制算法和ACK反馈机制,确保每个连接在共享网络中获得公平的带宽。
Cloudflare在处理漏洞时的时间线是什么?
Cloudflare在2025年4月10日收到报告,4月19日确认漏洞,5月2日完成修复,5月16日基础设施修复完成。
ACK在QUIC协议中的作用是什么?
ACK在QUIC协议中用于确认数据包的接收、进行丢包恢复和控制发送速率,确保网络的公平使用。
➡️
