这是一个创建于 3320 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近在研究 QUIC 协议,协议里面的代码里面我看到有这样一段注释
// kClientHelloMinimumSize is the minimum size of a client hello. Client hellos // will have PAD tags added in order to ensure this minimum is met and client // hellos smaller than this will be an error. This minimum size reduces the // amplification factor of any mirror DoS attack. // // A client may pad an inchoate client hello to a size larger than // kClientHelloMinimumSize to make it more likely to receive a complete // rejection message. const size_t kClientHelloMinimumSize = 1024; 背景是这样子的,这个是一个保证传输的通讯协议,当然要有一个握手的过程。
ClientHello 消息,是客户端第一个发送给服务端的数据,以进行一些版本、初始化数据,加密密钥等的通讯。
然后 kClientHelloMinimumSize 这个变量是这样的,客户端在组装好各种 ClientHello 需要的参数,再序列化成二进制报文后,若发现报文的长度小于 kClientHelloMinimumSize 就在报文中增加一个 padding 。
然后注释是说这个增加 padding 的机制可以在一定程度上减缓 DDoS 。原理是怎么样的呢?我大概想了一下,如果服务端收到的报文长度小于这个值,可以直接拒绝连接,这样可以减少 CPU 资源,但还有没有其他原理呢?欢迎大家补充。
 | 1 dndx 2016-11-01 00:51:36 +08:00 via iPhone // hellos smaller than this will be an error. This minimum size reduces the // amplification factor of any mirror DoS attack 这个讲的很明确了,为了减小 ampflication factor ,让 QUIC 对 DDoS 的人没这么大吸引力。要不可能就沦落到 NTP 或者 DNS 那样被利用。 |
 | 2 ryd994 2016-11-01 02:34:13 +08:00 via Android 不是防自己被 DDoS 是防被利用来 DDoS 其他人 |
 | 3 p2227 OP @dndx 抱歉,理解错了。 dns 放大攻击就是别人伪造 ip 包让多个 dns 都去 DoS 某个指定的 ip 是吧。那么还是回到这个问题大,设置握手消息的最小长度可以减少自己被别人利用来 DDoS 的原理是怎么样呢? |
| 5 dndx 2016-11-01 13:21:38 +08:00  1 @p2227 如果握手包太小,那么攻击者给支持 QUIC 的服务器发送一个很小的数据包就会收到服务器一个较大的回复,这样有放大效果,容易被利用。 反之如果要求攻击者必须发送比较大的数据包才能获得一个类似大小的回复,放大效果很差甚至没有,也就没有被利用的动机了。 |
| 6 ryd994 2016-11-01 14:50:43 +08:00 |
Select Language