如果你正在閱讀這篇文章,你很可能對網路安全以及一些用於傳輸網路流量的協議感興趣。QUIC(Quick UDP Internet Connection)是一種相對較新的協議,因為FAANG(Facebook、Apple、Amazon、Netflix和Google)在串流和網路數據傳輸方面的使用而迅速廣受採用。QUIC最早由Google創建並於2014年開始部署,後來於2016年由互聯網工程任務組(IETF)標準化。如今,QUIC正風靡於網路世界。
QUIC(Quick UDP Internet Connections)是一種傳輸層協議,快速在網路上被廣泛採用,並成為Google Chrome瀏覽器的默認標準。作為改進用戶體驗的一部分,QUIC替代了先前在TLS(Transport Layer Security)和TCP(Transmission Control Protocol)中處理的通訊流程組件。QUIC取代了TCP的機制,例如損失回復、連接控制和連接建立。同時,QUIC也吸收了TLS的安全層。
QUIC 如何運作?
QUIC推動採用的主要因素包括:
- 低延遲
- 更好的丟包回應
- 安全性和隱私保護
- 可擴展性
儘管在優化網路通訊方面帶來了這些改進,但QUIC也存在一些缺陷和威脅,需要網路安全團隊關注和解決。
QUIC的快速增長
QUIC協議的採用正在迅速增長。在客戶端方面,Google Chrome、Google應用程式客戶端和Facebook應用程式預設支援QUIC。Safari、Edge和Firefox也支援QUIC,但需要用戶手動啟用。
在伺服器端,QUIC的應用範圍迅速擴展。Google、Microsoft、Facebook、Apple、Akamai、Fastly、Cloudflare和NGINX等公司都支援QUIC部署。
根據W3Techs的報告,超過7%的網站正在使用QUIC。
駭客追蹤的挑戰
我們NetQuest在過去提出了QUIC協議可能引發的潛在問題,現在我們對QUIC協議可能帶來的問題有了更清晰的了解。
當涉及到新技術時,一個主要的基本問題是現有安全工具的適應和適用性。QUIC協議消除了TLS會話密鑰,使得檢查傳入封包更加困難。如果QUIC在網際網路上的應用越來越廣泛,安全產品需要覆蓋所有領域,並能夠快速識別實時流量中的差異。
同樣,需要更新DDoS(分布式阻斷服務)防禦策略。QUIC協議下的封包識別、檢查和記錄變得更加困難,而TCP syncookies現在被所謂的“重試封包”取代。這需要許多安全團隊進行開發和重新配置。此外,隨著QUIC協議的引入,還出現了一種新類型的DDoS攻擊。
QUIC洪水式DDoS攻擊
駭客總是尋找並通常成功找到利用最新技術進行不法行為的方法。一種新型的DDoS攻擊是QUIC洪水式攻擊(QUIC Floods)。這類攻擊類似於以前所知的UDP洪水攻擊,但並不完全相同。
洪水攻擊是指駭客通過傳送大量偽造的數據,使目標伺服器過載,迫使伺服器嘗試處理大量的數據,從而導致服務變慢或完全癱瘓。
UDP洪水攻擊已經存在很長時間,安全團隊對如何應對這類攻擊有較好的理解。然而,QUIC洪水式攻擊與UDP不同之處在於它在UDP之上添加了額外的加密層,這使得伺服器更難判斷數據是否合法。
識別QUIC
安全團隊需要根據QUIC協議可能帶來的新問題,更新其網路安全策略。NetQuest Corporation正在協助識別和記錄QUIC特定的元數據。
NetQuest Network Security Broker(NSB)可以對QUIC和TLS交握進行分類,轉發關鍵IP封包頭信息,同時使用先進的封包檢測算法截斷加密的IP有效負載。
NetQuest Streaming Network Sensors(SNS)包括對加密流量的分析算法,可以根據SSH、TLS和QUIC等網路協議識別具有強大威脅指標的疑似入侵指示(IoC)。團隊可以使用SNS提供的IoC來檢測與已知的網路威脅相匹配的實時流量模式。
立即聯繫NetQuest Corporation,了解如何最大限度地提高對QUIC流量的可見性,並優化網路安全。