📌 一句话摘要

Cloudflare 通过动态 CWND 感知的数据包跳过技术，缓解了 QUIC 中两个基于 ACK 的 DDoS 漏洞（乐观 ACK 和 ACK 范围验证）。

📝 详细摘要

本文详细介绍了 Cloudflare 的开源 QUIC 实现`quiche`中发现的两个关键 DDoS 漏洞：CVE-2025-4820 和 CVE-2025-4821。这些漏洞与 QUIC 处理数据包确认（ACK）的方式有关，数据包确认对于网络公平性和拥塞控制至关重要。CVE-2025-4821 源于缺少 ACK 范围验证，允许客户端确认未发送的数据包。CVE-2025-4820，即“乐观 ACK 攻击”，使攻击者能够预测并抢先发送 ACK，迫使服务器人为抬高发送速率，可能导致 DDoS。Cloudflare 迅速解决了这些问题。乐观 ACK 攻击的核心缓解措施是一种新颖的动态 CWND 感知数据包跳过频率，该频率随连接的发送速率而变化，使攻击者难以预测数据包编号，从而确保在协议层面的强大防御。

💡 主要观点

1. 识别并缓解了两个关键的基于 QUIC ACK 的 DDoS 漏洞。 CVE-2025-4820（乐观 ACK 攻击）和 CVE-2025-4821（ACK 范围验证）允许恶意客户端篡改 ACK 信号，从而抬高服务器的发送速率。
2. ACK 范围验证对于防止基本的 ACK 操纵和协议违规至关重要。 强制 ACK 范围验证确保客户端仅确认服务器已发送的数据包。违反此规则将按照 RFC 建议关闭连接。
3. 动态的 CWND 感知数据包跳过策略有效地缓解了乐观 ACK 攻击。 服务器通过基于 CWND 随机跳过数据包编号来检测并阻止客户端的抢先 ACK 行为，从而保证网络使用的公平性。

💬 文章金句

• Cloudflare 的调查显示，没有证据表明这些漏洞正在被利用或有任何客户受到影响。
• ACK 是互联网协议的重要信号来源，因此必须进行验证，以确保恶意节点不会破坏这些信号。
• 确认其未收到的数据包的端点可能导致拥塞控制器允许以超出网络支持的速率发送数据。
• 通过允许数据包跳过，QUIC 能够在协议层阻止此类攻击，并更有效地确保在不受信任的网络上的正确性和公平性。
• 这种 CWND 感知的跳过频率允许所有连接，无论当前的发送速率如何，都能有效地缓解乐观 ACK 攻击。

📊 文章信息

阅读完整文章