QUIC 防御基于确认的 DDoS 攻击

10/29/2025, 1:00:00 PM

📌 一句话摘要

Cloudflare 通过动态 CWND 感知的数据包跳过技术,缓解了 QUIC 中两个基于 ACK 的 DDoS 漏洞(乐观 ACK 和 ACK 范围验证)。

📝 详细摘要

本文详细介绍了 Cloudflare 的开源 QUIC 实现`quiche`中发现的两个关键 DDoS 漏洞:CVE-2025-4820 和 CVE-2025-4821。这些漏洞与 QUIC 处理数据包确认(ACK)的方式有关,数据包确认对于网络公平性和拥塞控制至关重要。CVE-2025-4821 源于缺少 ACK 范围验证,允许客户端确认未发送的数据包。CVE-2025-4820,即“乐观 ACK 攻击”,使攻击者能够预测并抢先发送 ACK,迫使服务器人为抬高发送速率,可能导致 DDoS。Cloudflare 迅速解决了这些问题。乐观 ACK 攻击的核心缓解措施是一种新颖的动态 CWND 感知数据包跳过频率,该频率随连接的发送速率而变化,使攻击者难以预测数据包编号,从而确保在协议层面的强大防御。

💡 主要观点

  1. 识别并缓解了两个关键的基于 QUIC ACK 的 DDoS 漏洞。 CVE-2025-4820(乐观 ACK 攻击)和 CVE-2025-4821(ACK 范围验证)允许恶意客户端篡改 ACK 信号,从而抬高服务器的发送速率。
  2. ACK 范围验证对于防止基本的 ACK 操纵和协议违规至关重要。 强制 ACK 范围验证确保客户端仅确认服务器已发送的数据包。违反此规则将按照 RFC 建议关闭连接。
  3. 动态的 CWND 感知数据包跳过策略有效地缓解了乐观 ACK 攻击。 服务器通过基于 CWND 随机跳过数据包编号来检测并阻止客户端的抢先 ACK 行为,从而保证网络使用的公平性。

💬 文章金句

📊 文章信息

AI 评分:91
来源:The Cloudflare Blog
作者:Apoorv Kothari
分类:软件编程
语言:英文
阅读时间:9 分钟
字数:2214
标签: 网络安全, DDoS缓解, QUIC协议, 拥塞控制, 数据包确认
阅读完整文章

阅读原文 QR Code 返回目录