shigeki / ask_nishida_about_quic_jp

QUICトランスポート機能に関して tcpm/mptcp wg chair の西田先生にいろいろ聞いてみる会
MIT License
13 stars 1 forks source link

QUIC とDDoS の仕分けかた #3

Closed codeout closed 6 years ago

codeout commented 7 years ago

現在,UDP によるDDoS が目立っています. 常時UDP を落とす事業者は少ないですが,有事の際にルーターのようなミドルボックスで

は有効な手段であり,検討している事業者は少なくないと思います.

実装可能性は別として,理論上QUIC とDDoS を仕分けできそうな,トランスポートの特徴などありそうでしょうか? それとも積極的にTCPフォールバックさせたほうがよさそうでしょうか?

nsd246 commented 7 years ago

非常にシンプルな方法としては、QUICは今のところport 443だけを使用しているので、ポート番号を利用するという対応がありそうな気がします。DDoSに関して言えばTCPに対するDDoSもありますので、TCPにフォールバックさせたら安全とも言えない気がします。

shigeki commented 7 years ago

質問ありがとうございます。アジェンダに加えました。 https://github.com/shigeki/ask_nishida_about_quic_jp#43-distinction-between-quic-and-ddos

ミドルボックスの影響については、Googleの統計によると9割近くでUDPが透過的でQUICの通信ができているという統計結果が公表されています。おそらく Android端末など圧倒的にモバイル環境からのアクセスが多いのでこのような高さになっているかと思われます。UDPの rate limitしているサイトもこの1年で3分の1に減ったとのGoogleからの報告もありますので、今のところ Google サービスの利用の範囲では積極的にTCPフォールバックさせている傾向ではなさそうです。

ミドルボックスによる QUIC の管理(他のDDoS UDPと区別すること)については、ちょうど先日のIETF97で quic の flow state の変化をちゃんと定義できるようにして、ミドルボックスで管理できるようにしようという発表がありました。 https://www.ietf.org/proceedings/97/slides/slides-97-quic-flow-state-signaling-and-quic-00.pdf QUIC自体は、TLS1.3の仕組みで即時暗号化通信を開始するので非常に限定的なデータ(初期ハンドシェイクと暗号範囲外のヘッダ部)しか外から判断できません。ミドルボックスで変なチェックを入れられることに対してはあまり好意的に受け止められていませんでした。 ただし quic wg のチャーターにdeployment and manageability implications が入っていますので、なんらかの成果物はこれから出すことになるかと思います。

codeout commented 7 years ago

お二方ともコメントありがとうございます:bow: 参考になります.

後出しで申し訳ございませんが,可能でしたら「443/UDP が狙われた場合に」という前提を付け加えさせてください

UDP/53 のみならず UDP/80 が狙われるような情勢であり,「QUIC が普及して443/UDP が開いてそう」という風向きになれば,狙われる可能性も増えるだろうと予想できるからです.

The top service port targeted during the survey period was HTTP, as in previous years. The proportion of attacks targeting UDP/80 throughout 2015 stands at 18.8 percent (Figure A.6). This is nearly four times the level of the next most commonly targeted service, DNS.

https://www.arbornetworks.com/images/documents/WISR2016_EN_Web.pdf

nsd246 commented 7 years ago

443/UDPが狙われた場合については、今のところどういうDoS attackがQUICに対してあり得るかというのはまだよくわかってない気がするので、詳細な議論はこれからという感じがしています。 でも、TCPのDDoS対策にあるようなトラフィックパターンからDDoSを検知するタイプのものはQUICでも使えるだろうとは思います。 ただ、DDoSのレベルにもよりますが、公開されているサーバに対してDDoSとそうでないトラフィックを厳密に区別することは現実的にかなり難しいと思います。究極的には、パケットを見てそこに悪意があるかどうかを判断するみたいな話になってしまうと思うので。