Defending QUIC from acknowledgement-based DDoS attacks
7 months ago
- #QUIC
- #Cloudflare
- #DDoS
- Cloudflare于2025年4月10日通过漏洞赏金计划获知两个QUIC相关漏洞(CVE-2025-4820和CVE-2025-4821)
- 这些漏洞涉及quiche库中ACK包处理不当,可能导致DDoS攻击
- Cloudflare已发布补丁,目前未发现漏洞被利用或影响客户的证据
- QUIC协议依赖ACK机制实现网络公平性和拥塞控制,类似TCP但具备加密和缩短握手时间等增强特性
- 漏洞允许恶意节点操纵ACK包,人为提升服务器发送速率,可能引发DDoS攻击
- Cloudflare实施了动态CWND感知的跳过频率机制,通过随机化包跳过行为来缓解乐观ACK攻击
- 该修复方案通过根据连接发送速率调整跳过频率,确保网络使用的公平性
- 研究人员Louis Navarre和Olivier Bonaventure负责任地披露了该问题,并通知了其他受影响的QUIC实现方案