什么是 QUIC 泛洪 DDoS 攻击？

QUIC 泛洪攻击是一种 分布式拒绝服务 (DDoS) 攻击，该攻击旨在利用通过 QUIC 协议发送的数据使目标服务器不堪重负。由于它使用处理大量 QUIC 数据的资源，因此目标服务器会出现性能下降，并且可能最终发生崩溃。QUIC 泛洪攻击之所以难以抵御，是因为这种攻击使用的是 UDP 数据包，这些数据包提供的详细信息非常少，以至于目标服务器无法使用这些信息来阻止这种攻击。此外，QUIC 泛洪攻击还会对分组数据进行加密，导致难以确定数据包是否合法。

在 DDoS 攻击中，攻击者会尝试利用海量的不必要流量或非法流量造成服务器、网站或网络服务中断或者发生崩溃。为了实现此目标，攻击者会使用 僵尸网络。僵尸网络由数千乃至数百万台感染了恶意软件的设备组成，攻击者利用恶意软件来控制这些设备。当攻击者命令这些被入侵的机器向目标设备发送大量流量时，该设备最终会耗尽其资源，或者使用其所有连接来处理或响应恶意流量。最终，该设备可能会发生崩溃或出现性能下降，进而无法对合法流量和用户做出响应。

QUIC 是一种新的面向连接的加密传输协议，由 Google 开发，旨在实现更快、更安全的互联网连接。它有可能取代 TCP 传输协议和 TLS 加密协议。基于用户数据报协议 (UDP) 构建的 QUIC 用作低延迟传输协议，可供需要快速在线连接的应用程序和服务使用。为了实现更快的在线连接，QUIC 将耗时的三次 TLS 握手（用于建立 TLS 连接）替换为单次握手。QUIC 使用多路复用来一次发送多个数据流，这可以降低潜在数据丢失和传统 HTTP 请求/响应逻辑所造成的延迟。通过将 TLS 加密构建到标准通信过程中，QUIC 可以自动对所有数据进行加密。

QUIC 协议特别容易受到使用反射的 DDoS 攻击的影响。此技术涉及在向多个服务器请求信息时欺骗目标服务器的 IP 地址。当这些服务器做出响应时，所有数据都会传输到目标系统，而不是攻击者的设备。在 QUIC 反射攻击中，攻击者会使用发起 QUIC 连接的“hello”消息。由于 QUIC 协议会将 UDP 传输协议与 TLS 加密协议相结合，因此目标服务器必须在其回复中包含其 TLS 证书，这会导致初始的第一条回复远大于攻击者的第一条消息。在有大量回复的情况下，此内容会大大增加，而目标服务器会因为接收了大量不必要的数据而变得不堪重负。

QUIC 泛洪攻击会严重扰乱业务运营，特别是那些非常依赖于在线服务和应用程序的业务运营。当服务器因为接收大量 QUIC 数据而变得不堪重负时，它会出现性能下降，甚至是发生崩溃。这会导致网站停机、应用程序和在线服务中断，既影响工作效率又影响客户体验。

例如，电子商务平台可能会在其交易过程中遇到服务中断，这会造成销售损失并让客户感到不满。同样，流媒体平台或基于云的软件服务等在线服务提供商可能会遇到影响其用户群和声誉的服务中断。

严重依赖互联网开展运营的行业都很有可能遭受 QUIC 泛洪攻击。例如，电子商务、金融和技术行业。电子商务业务尤其容易受到攻击，因为其运营是完全在线的。成功的 QUIC 泛洪攻击会中断交易并导致销售损失，从而造成严重的经济损失。

金融行业（包括网上银行和金融科技公司）是另一个可能遭受此攻击的行业。这些企业会处理敏感的客户数据，并且依赖于全天候提供的服务。任何服务中断不仅会造成经济损失，还有损客户信任。

可以将 QUIC 泛洪攻击看作是某种形式的 放大攻击，攻击者会在该攻击中使用少量输入生成大量、破坏性的输出。它们会利用 QUIC 协议使用 UDP 的特性，该协议类似于 DNS 和 ICMP 协议，因此也容易受到放大攻击的影响。

身份验证在抵御这些攻击方面发挥着至关重要的作用。通过验证流量来源，各企业可以过滤掉恶意数据包。但是，QUIC 泛洪攻击中使用的加密会导致此目标难以实现。

DoS 攻击（包括 QUIC 泛洪攻击）旨在利用大量流量使系统不堪重负，进而导致系统不可用。防火墙可以通过监控传入流量并拦截可疑活动来帮助抵御这些攻击。但是，由于 QUIC 流量具有加密性质，因此传统防火墙的防护效果有限。因此，您需要采用 DDoS 抵御服务等高级安全措施来处理像 QUIC 泛洪攻击这样的复杂攻击。

安全团队可以通过遵循多项最佳实践来阻止或抵御 QUIC 泛洪攻击。

• 速率限制。速率限制机制可以限制允许从单个源 IP 地址或特定子网发出的 QUIC 数据包的数量。
• 将初始客户端报文大小设置为最小。如果您将初始 hello 消息的大小设置为最小，攻击者就需要使用大量带宽来发送虚假的 hello 消息，从而有可能导致他们放弃攻击。
• DDoS 抵御服务。安全团队可以订阅 DDoS 抵御服务，该服务可提供各种用于检测抵御措施的技术，同时还会提供对足以吸收大规模 DDoS 攻击的网络的访问权限。

Akamai 为全球大型企业提供安全的数字化体验。我们会让决策、应用程序和体验尽量靠近用户，同时竭力抵御攻击和威胁，使我们的客户及其网络能够做到快速、智能、安全。

我们的端到端 DDoS 和 DoS 防护解决方案提供可用作第一道防线的整体方法。凭借专用边缘、分布式 DNS 和网络云抵御策略，我们的反 DDoS 技术可防止附带损害和单点故障，为我们的客户提供更高的恢复能力、专项净化容量和更高的抵御质量。

App & API Protector 提供一整套强大的保护措施，这些保护措施专为实现“以客户为中心”的自动化而构建。该解决方案不但提供了当今环境中高度先进的 应用程序安全自动化机制，而且依然方便易用。这种新的自适应安全引擎加上多项卓越的核心技术，将 DDoS 防护、 API 安全、爬虫程序抵御和 Web 应用程序防火墙整合到了一套简单易用的解决方案中。

Prolexic 可以实施高速、有效的大规模防御，以阻止 DDoS 攻击。Prolexic 为 DDoS 防御提供了零秒 SLA，可主动缩小攻击面，并根据网络流量情况自定义抵御控制措施，从而即时阻止攻击。全托管式 SOCC 可作为您现有网络安全计划的补充，通过业界公认的经验帮您改善解决问题的时间。

Edge DNS 借助规模庞大的边缘平台防范 DNS 中断，为企业提供有保障、值得信赖的不间断 DNS 可靠性。作为一款云端解决方案，Edge DNS 可确保全天候 DNS 可用性、更好的 DNS 响应度，还能够抵御规模庞大的 DDoS 攻击。

• 什么是 DoS 防护？
• 什么是 ICMP 泛洪攻击？
• 什么是 Memcached DDoS 攻击？
• 什么是 SYN 泛洪 DDoS 攻击？
• 什么是 Slowloris DDoS 攻击？
• 什么是 UDP 泛洪 DDoS 攻击？
• 什么是应用层 DDoS 攻击？
• 什么是 DNS 放大攻击？
• 什么是 SSDP DDoS 攻击？
• 什么是基于 CLDAP 反射的 DDoS 攻击？