QUIC 洪水攻击真的那么可怕吗

什么是 Quic 协议？
QUIC 协议是一种通过互联网发送数据的新方法，它比早期协议更加快速，高效和安全。QUIC 属于传输协议，这意味着它会影响数据在互联网上的传输方式。像几乎所有互联网协议一样，QUIC 可以被恶意用来进行 DDoS 攻击。

以更专业的术语来说，QUIC 协议是一种传输层协议，理论上可以取代 TCP（一种传输协议）和 TLS（一种加密协议）。2019 年 7 月，所有网站中大约 3％ 在使用 QUIC，该协议的支持者希望采用率会随着时间流逝而继续上升。HTTP 协议的最新版本 HTTP/3 在 QUIC 的基础上运行。

QUIC 协议如何工作？
QUIC 协议的目标是比传统的互联网连接更快，更安全。为了提高速度，它使用 UDP 传输协议，此协议速度比 TCP 快，但可靠性不如后者。它一次发送多个数据流，以弥补沿途丢失的任何数据，这种技术称为多路复用。

为了提高安全性，通过 QUIC 发送的所有内容都会自动加密。通常，数据必须通过 HTTPS 发送数据才会被加密。但是，QUIC 将 TLS 加密构内建到普通的通信过程中。

这种内置加密进一步加快了协议的速度。在典型的 HTTPS 中，必须在传输层完成三向 TCP 握手，然后才能开始多步骤 TLS 握手。完成这一切后，才能在客户端和服务器之间发送任何实际的数据。QUIC 组合了这两个握手，使它们一次性全部完成：客户端和服务器确认连接已打开，并同时生成 TLS 加密密钥。

什么是 QUIC 洪水？
QUIC 洪水 DDoS 攻击是指攻击者试图通过使用 QUIC 发送的数据压垮目标服务器以拒绝服务。受害服务器被迫处理它收到的所有 QUIC 数据，从而减慢对合法用户的服务，并在某些情况下导致服务器完全崩溃。通过 QUIC 发动的 DDoS 攻击很难阻止，这是因为：

QUIC 使用 UDP，为数据包接收方提供的信息非常少，不足以用来阻止数据包
QUIC 对数据包数据进行加密，数据的接收方无法轻易辨别它是否合法
QUIC 洪水攻击可以使用多种方法来展开，但 QUIC 协议特别容易受到基于反射的 DDoS 攻击的破坏。

什么是 QUIC 洪水反射攻击？
在反射式 DDoS 攻击中，攻击者假冒受害者的 IP 地址并向多台服务器请求信息。当服务器做出响应时，所有信息将传递给受害者而非攻击者。想象一下，有人恶意用他人的回信地址寄送信件，让后者不得不接收大量不必要的邮件。

使用 QUIC 协议时，可以通过启动 QUIC 连接的初始“hello”消息发动进行反射攻击。与 TCP 连接不同，QUIC 连接打开时服务器不会发送简单的 ACK 消息。由于 QUIC 将 UDP 传输协议与 TLS 加密相结合，因此服务器在对客户端的第一次答复中附带了其 TLS 证书。这意味着服务器的第一条消息要比客户端的第一条消息大得多。通过假冒受害者的 IP 地址并向服务器发送“hello”消息，攻击者诱使服务器向受害者发送大量不需要的数据。

为了部分缓解这种类型的攻击，QUIC 协议的架构师为初始客户端问候消息设置了最小大小，以使攻击者需要大量带宽才能发送许多虚假客户端问候消息。但是，服务器问候消息仍然大于客户端问候消息，因此仍然有发生这种攻击的可能。

QUIC 洪水与 UDP 洪水是否相似？
UDP 洪水是一种 DDoS 攻击，使用不需要的 UDP 数据包压垮目标服务器。QUIC 使用UDP，但 QUIC 洪水不一定等同于 UDP 洪水。

UDP 洪水冲垮目标服务器的一种方法是，将伪造的 UDP 数据包发送到服务器上未实际使用的特定端口。服务器必须使用 ICMP 错误消息来答复所有数据包，这会占用处理能力并减慢服务器速度。可以使用 QUIC 来进行这种攻击，但对于攻击者来说，纯粹通过 UDP 进行攻击的成本通常较低，没有生成 QUIC 数据包的额外开销。

德迅云安全有能力为您有效防护攻击

使用德迅云安全高防服务器——德迅云安全部署的T级别数据中心，具备完善的机房设施，核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送：自主化管理平台、德迅卫士（主机安全防火墙）、WEB云防护（一站式网站安全加速）、1V1专家技术支撑，竭诚为您提供安全、可靠、稳定、高效的服务体验。

使用德迅云安全SCDN——SCDN是德迅云安全推出的集分布式DDoS防护、CC防护、WAF防护、BOT行为分析为一体的安全加速解决方案。已使用内容分发网络（CDN）或全站加速网络（ECDN）的用户，购买服务后可为加速域名一键开启安全防护相关配置，全方位保障业务内容分发。

可以有效防御 SQL注入、XSS攻击、命令/代码执行、文件包含、木马上传、路径穿越、恶意扫描等OWASP TOP 10攻击。专业的攻防团队7*24小时跟进0day漏洞，分析漏洞原理，并制定安全防护策略，及时进行防护。

使用德迅云安全DDOS高防IP——DDoS高防IP是以省骨干网的DDoS防护网络为基础，结合德迅自研的DDoS攻击检测和智能防护体系，向您提供可管理的DDoS防护服务，自动快速的缓解网络攻击对业务造成的延迟增加，访问受限，业务中断等影响，从而减少业务损失，降低潜在DDoS攻击风险。

通过创新的报文基因技术，在用户与防护节点之间建立加密的IP隧道，准确识别合法 报文，阻止非法流量进入，可彻底防御CC攻击等资源消耗型攻击。

提供可弹性扩缩的分布式云防护节点，当发生超大流量攻击时，可根据影响范围，迅速将业务分摊到未受影响的节点。

使用德迅云安全抗D盾——抗D盾是德迅针对游戏行业所推出的高度可定制的网络安全解决方案，除了能针对大型DDoS攻击（T级别）进行有效防御外，还能彻底解决游戏行业特有的TCP协议的CC攻击问题，防护成本更低，效果更好！

采用新一代的智能分布式云接入系统，接入节点采用多机房集群部署模式，隐藏真实服务器IP，类似于网站CDN的节点接入，但是“抗D盾”是比CDN应用范围更广的接入方式，适合任何TCP 端类应用包括（游戏、APP、微端、端类内嵌WEB等）。用户连接状态在各机房之间实时同步，节点间切换过程中用户无感知，保持TCP连接不中断，轻松应对任何网络攻击。