设置握手消息的最小长度可以减少 DDoS 攻击?原理是怎么样的?

2016-10-31 20:00:08 +08:00
 p2227

最近在研究 QUIC 协议,协议里面的代码里面我看到有这样一段注释

// kClientHelloMinimumSize is the minimum size of a client hello. Client hellos
// will have PAD tags added in order to ensure this minimum is met and client
// hellos smaller than this will be an error. This minimum size reduces the
// amplification factor of any mirror DoS attack.
//
// A client may pad an inchoate client hello to a size larger than
// kClientHelloMinimumSize to make it more likely to receive a complete
// rejection message.
const size_t kClientHelloMinimumSize = 1024;

代码出处 https://github.com/google/proto-quic/blob/e532f6da2454465de9e9e0114283b83458e2485f/src/net/quic/core/crypto/crypto_protocol.h#L251

背景是这样子的,这个是一个保证传输的通讯协议,当然要有一个握手的过程。

ClientHello 消息,是客户端第一个发送给服务端的数据,以进行一些版本、初始化数据,加密密钥等的通讯。

然后 kClientHelloMinimumSize 这个变量是这样的,客户端在组装好各种 ClientHello 需要的参数,再序列化成二进制报文后,若发现报文的长度小于 kClientHelloMinimumSize 就在报文中增加一个 padding 。

然后注释是说这个增加 padding 的机制可以在一定程度上减缓 DDoS 。原理是怎么样的呢?我大概想了一下,如果服务端收到的报文长度小于这个值,可以直接拒绝连接,这样可以减少 CPU 资源,但还有没有其他原理呢?欢迎大家补充。

3286 次点击
所在节点    信息安全
6 条回复
dndx
2016-11-01 00:51:36 +08:00
// hellos smaller than this will be an error. This minimum size reduces the
// amplification factor of any mirror DoS attack

这个讲的很明确了,为了减小 ampflication factor ,让 QUIC 对 DDoS 的人没这么大吸引力。要不可能就沦落到 NTP 或者 DNS 那样被利用。
ryd994
2016-11-01 02:34:13 +08:00
不是防自己被 DDoS
是防被利用来 DDoS 其他人
p2227
2016-11-01 10:23:30 +08:00
@dndx 抱歉,理解错了。 dns 放大攻击就是别人伪造 ip 包让多个 dns 都去 DoS 某个指定的 ip 是吧。那么还是回到这个问题大,设置握手消息的最小长度可以减少自己被别人利用来 DDoS 的原理是怎么样呢?
p2227
2016-11-01 10:24:20 +08:00
@ryd994 抱歉,那么防止被利用的原理是什么呢?本人菜鸟,不知道这个跟初始握手消息的最小长度有什么联系。
dndx
2016-11-01 13:21:38 +08:00
@p2227 如果握手包太小,那么攻击者给支持 QUIC 的服务器发送一个很小的数据包就会收到服务器一个较大的回复,这样有放大效果,容易被利用。

反之如果要求攻击者必须发送比较大的数据包才能获得一个类似大小的回复,放大效果很差甚至没有,也就没有被利用的动机了。
ryd994
2016-11-01 14:50:43 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/316882

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX