QUICforge: 基于 QUIC 协议的客户端伪造请求攻击

于 2023-03-30 09:44:13 发布
阅读量210 收藏
点赞数
文章标签: 网络安全
原文链接:https://card.weibo.com/article/m/show/id/2309404674376942354675
版权

该工作由柏林工业大学分布式基础设施安全实验室的 Yuri Gbur 和 Florian Tschorsch 共同完成。作者从 QUIC 协议的设计出发,分析了 (1) 服务端初始请求伪造(Server Initial Request Forgery, SIRF),(2) 版本协商请求伪造 (Version Negotiation Request Forgery, VNRF) 以及 (3) 连接迁移请求伪造(Connection Migration Request Forgery, CMRF ) 这三种典型的客户端请求伪造攻击模式。作者发现 VNRF 可用于模拟 DNS 等基于 UDP 的协议,SIRF 和 CMRF 可用于流量放大攻击。作者评估了 13 种开源 QUIC 协议的实现,探索了请求伪造攻击的影响,结果表明,所有实现都受 SIRF 和 VNRF 请求伪造攻击影响,QUIC 协议存在潜在的脆弱性。论文发表于国际网络安全四大顶级学术会议 NDSS 2023。

 

ウェル
关注
新型DDoS攻击?基于QUIC协议的DDoS反射放大攻击研究
jennycisp的博客
08-01 643
QUIC是一种基于UDP开发的加密且面向连接的协议,在实现可靠传输、拥塞控制、数据加密的同时还能更好地支持多路复用、连接迁移等特性,可提供比TCP+TLS更快速、更高效、更简单的加密流量通信。QUIC最早由2012年Google工程师开发,目标是改善用户体验,后在2021年5由IETF标准化(RFC 9000)[1]。目前现网有8.5%的网站使用QUIC,这个占比还在不断上升。此外谷歌、Youtube、Facebook大牌企业均广泛使用QUIC,Facebook甚至宣称其超过75%的流量来自QUIC[2]
网络安全学术顶会——NDSS 2023 议题清单、摘要与总结(下)
最新发布
漏洞战争
06-03 3712
51、Let Me Unwind That For You: Exceptions to Backward-Edge Protection通过堆栈缓冲区溢出进行反向边控制流劫持是软件利用的终极目标。直接控制关键的堆栈数据和劫持目标使得攻击者特别喜欢这种利用策略。因此,社区已经部署了强大的反向边保护,如影子堆栈或堆栈金丝雀,迫使攻击者采取不太理想的基于堆的利用策略。然而,这些缓解通常依赖于一个关键假...
QUIC包发送流程
Hello
09-06 1951
发送流程: 切入点为发送closePacket包: 发送close包会调用 void QuicConnection::CloseConnection( QuicErrorCode error, const string& error_details, ConnectionCloseBehavior connection_close_behavior) ...
QUIC协议(握手过程)简要介绍
lrylx的博客
11-02 1666
QUIC协议(握手流程)从密码学方面的简要介绍
HTTP3/QUIC 性能测试与配套组件
weixin_40960130的博客
07-23 2018
背景 最近一年很多关于QUIC的文章层出,但是发现一个问题,这些文章都是在介绍QUIC或HTTP3是怎样的一个东西,以及它的优点和机制,将它夸的近乎上天了。然而有心的人估计会亲手做一些测试,就会发现这个被捧上天的东西性能居然还不如HTTP1.1,这是怎么回事呢? 最近我一直在做QUIC或者说HTTP3的相关工作,就一直在憋着写这样一篇文章,给和我当初有同样疑问的人一种变相的解答。 测试 测试很简单,分为两台机器,均在同一局域网内。服务器使用Nginx的QUIC分支版本,即nginx-quic客户端使用h.
msquic:IETF QUIC协议的跨平台C实现
02-05
与现有的“基于TCP的TLS”方案相比,QUIC具有许多优点: 所有数据包均已加密,并且握手使用TLS 1.3进行了身份验证。 (可靠和不可靠)应用程序数据的并行流。 在第一个往返(0-RTT)中交换应用程序数据。 改善了...
goproxy:基于QUIC和SOCKS5的安全代理
02-13
基于SOCKS5和QUIC的安全代理。 客户端侦听新连接,然后通过QUIC将它们转发到远程服务器。 服务器充当SOCKS5服务器,但处理快速连接而不是TCP连接。 另外,服务器使用客户端证书进行客户端身份验证。 要求 客户端和...
kwik:Java中的QUIC客户端(和客户端库)实现。 支持带有“ Flupke”插件的HTTP3
04-13
QUIC客户端Java库 Kwik是Java中协议客户端实现。 QUIC是由IETF开发的全新传输协议,它将成为新HTTP3协议的传输层。 尽管QUIC对于HTTP3而言是必需的,但它不仅仅是HTTP3的传输协议:大多数人都将QUIC视为“下一代...
quic-protocol:Google对QUIC(HTTP3)协议的纯Java实现
03-19
4. **内置加密**:QUIC将加密和身份验证集成到协议中,使得连接更加安全,减少了中间人攻击的风险。 5. **快速重传和恢复**:QUIC通过使用更灵活的丢包检测和恢复机制,可以更快地处理丢包情况,改善了网络拥塞控制...
Quic.NET:QUIC协议的.NET C#实现-Google的实验性传输层
05-08
QuicNet是下面提到的QUIC协议的.NET实现。 该实现与quic-transport草案的第32版保持一致,并且尚未提供以下相关草案的实现: quic-tls 快速恢复 开始吧 最少的工作实例 预习 服务器 using System ; using ...
QUIC协议传输格式的详细设计文档
09-29
Google在网络基础技术上的创新可以说不遗余力。SPDY已经成为下一代HTTP的基础。而在传输层,Google也在2013年提出并实行了QUIC(读音同quick)协议。将近两年,QUIC进展如何了呢? 昨天Google官方博客透露,QUIC已经支撑了Chrome与Google服务器之间近50%流量,而且在搜索和YouTube等服务上体验提升明显,也就是说,经受住了世界上最大互联网服务的生产环境的挑战。 Google还表示,由于实验成功,他们将把QUIC提交给IETF,进入标准化流程。 QUIC实际上是基于UDP的,但可以实现与TCP+TLS等效的效果,但延迟大大降低。如果客户端已经与某个服务器建立过联系,就可以将往返连接建立的时间降为0。
go-libp2p-quic-transport:使用QUIC的libp2p传输的实现
02-02
go-libp2p-quic-transport go-libp2p-quic-transport使用quic- 为libp2p提供QUIC支持。 安装 go-libp2p-quic-transport是一个标准的Go模块,可以通过以下方式安装: go get github.com/libp2p/go-libp2p-quic-transport 此存储库与兼容,并且Go 1.11及更高版本(启用了模块)的用户将通过引用此软件包自动提取最新的标记发行版。 可以使用go get或编辑go.mod文件来管理对将来版本的升级。 有助于 随时加入。欢迎您。 打开一个! 该存储库属于libp2p。 想要破解libp2p吗?
GPS定位系统及协议介绍
月朗风清
09-29 4204
以前人们说起定位、导航习惯性的叫做GPS,因为从前的美国GPS系统"一家独大"。不过GPS只是现今全球四大导航系统之一。目前全球卫星导航系统定位(GNSS)已经发展成GPS、GLONASS、GALILEO、BDS四分天下。甚至未来可能还有印度(GAGAN)、日本(Q)等国家的区域系统。 1、美国全球定位系统(GPS)。由24颗卫星组成,分布在6条交点互隔60度的轨道面上,精度约为10米,军民
QUIC代理服务的实现
evan的专栏
04-30 4298
QUIC Proxy 随着http/3的临近,quic越来越受到关注,关于quic的介绍网上有很多,这里就不做介绍了。目前,quic有两个版本Google QUIC 和 IETF QUIC,随着IETF的最终定稿,谷歌也会向其靠拢。 作为全球最大的浏览器Chrome很早以前就开始支持GQUIC(Google QUIC),并且Youtube已经开始全站应用GQUIC协议,所以本文介绍的QUIC代理服...
HTTP与QUIC协议
张念磊的博客
05-21 1154
HTTP请求与响应的过程 首先在浏览器输入www.163.com(url 统一资源定位符) 通过DNS解析获得IP地址,然后封装一个http请求 Http请求的构建 请求行 方法 URL 版本 首部 key value key value 实体 http请求包含三部分:请求行、首部、实体 请求行: 版本为http版本,如1.0, 1.1, 2.0 URL:即ww...
HTTP3.0(QUIC的实现机制)
afk46847的博客
12-11 852
回顾HTTP2.0 HTTP1.1在应用层以纯文本的形式进行通信,每次通信都要带完整的HTTP的头,而且不考虑pipeli模式的化,每次的过程总是像上面描述的那样一去一回。那样在实时性、并发想上都存在问题 头部压缩:HTTP2.0会对HTTP的头进行一定的压缩,将原来每次都要携带的大量key value在两端建立一个索引表,对相同的头只发送索引表中的索引 HTTP2.0协议将一个TCP的...
QUIC的那些事 | QUIC概述
u014023993的专栏
01-13 3344
目录 TCP/UDP缺点 TCP的不足 UDP的不足 握手导致的连接成本 TCP的可靠成本 中间设备的僵化 依赖于操作系统的实现导致协议僵化 队头阻塞 QUIC的特点 QUIC原理 QUIC使用场景 QUIC报文格式概述 参考资料 QUICQuick UDP Internet Connection)是谷歌提出的一种基于UDP的低时延的互联网传输层协议QUIC解决...
QUIC概述
fsx2550553488的博客
09-02 5468
QUIC概述 感谢罗成罗成。 Quic 全称 quick udp internet connection,即:快速UDP互联网链接。是由Google提出的基于UDP协议的多路并发传输协议QUIC诞生背景 从上世纪90年代互联网开始兴起,大部分互联网流量传输都使用经典的一些协议:使用IPV4进行路由、使用TCP进行链接层的流量控制、使用SSL/TLS保证传输安全、使用DNS进行域名解析、...
QUIC协议的分析,性能测试以及在QQ会员实践
weixin_34284188的博客
05-10 827
作者:王莹, 腾讯应用开发 高级工程师 商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。原文链接:http://wetest.qq.com/lab/view/384.html WeTest 导读 你听过HTTPS、HTTP2.0、SPDY,但是这些应用层协议都是基于可靠的传输层协议TCP来实现的。那么,基于高效的UDP协议有...
基于UDP协议的可靠传输: QUIC协议解决TCP的痛点
总的来说,基于UDP协议实现可靠传输是一个具有挑战性的任务,但QUIC协议的出现为这个问题提供了一个解决方案。QUIC协议通过引入序列号和确认应答机制、流量控制、拥塞控制等技术,实现了可靠传输,并且也解决了TCP...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值