The QUIC protocol has been proposed in recent years. Due to its stateless nature, the QUIC protocol is particularly susceptible to DDoS attacks. A DDoS attack is a simple and low-cost method of overwhelming the QUIC server. Additionally, QUIC is susceptible to replay amplification attacks. The original QUIC protocol offers a number of methods to mitigate the Distributed Denial-of-Service (DDoS) attack, including path validation and IP validation. However, the method requires controllability in the QUIC protocol. When a DDoS attack occurs, the method also consumes some resources on the server side. This method can only mitigate the DDoS attack to a limited extent. Some researchers have proposed that the majority of the validation computation operation be moved to the client, which would significantly reduce the workload on the server. A client puzzle is a cryptographic challenge designed to mitigate Denialof- Service (DoS) attacks. The concept was first introduced in the early 1990s and requires clients to solve complex computational puzzles before gaining access to a server’s resources. The concept is to transfer the computational burden to potential attackers, thereby reducing the rate of their attacks by requiring them to complete puzzles before sending requests. Puzzles typically involve hashing operations that must meet specific criteria. Client puzzles are often used in scenarios such as preventing SYN flooding, authentication ratelimiting, and mitigating botnet-driven attacks, ensuring legitimate clients can access resources while impeding malicious traffic. In this project, I proposed a new QUIC protocol with a puzzle feature. This proposed protocol aims to address three scenarios of attack: connection resources attack, computation resource attack, and replay amplification attack. My solution for these three attack scenarios is straightforward to implement and requires fewer resources than other existing defences against these attacks. Furthermore, my solution effectively halts the attack, reducing the potential loss before it is detected.

QUIC-protokollet har föreslagits under de senaste åren. På grund av sin statslösa natur är QUIC-protokollet särskilt känsligt för DDoS-attacker. En DDoS-attack är en enkel och billig metod för att överväldiga QUIC-servern. QUIC är dessutom känsligt för replay amplification-attacker. Det ursprungliga QUIC-protokollet erbjuder ett antal metoder för att mildra DDoS-attacken, bland annat vägvalidering och IP-validering. Metoden kräver dock kontrollerbarhet i QUIC-protokollet. När en DDoS-attack inträffar förbrukar metoden också en del resurser på serversidan. Denna metod kan endast i begränsad utsträckning mildra DDoS-attacken. Vissa forskare har föreslagit att merparten av valideringsberäkningarna ska flyttas till klienten, vilket skulle minska arbetsbelastningen på servern avsevärt. Ett klientpussel är en kryptografisk utmaning som är utformad för att mildra DoS attacker. Konceptet introducerades för första gången i början av 1990-talet och innebär att klienter måste lösa komplexa beräkningsuppgifter innan de får tillgång till en servers resurser. Konceptet går ut på att överföra beräkningsbördan till potentiella angripare och därigenom minska antalet attacker genom att kräva att de löser pussel innan de skickar förfrågningar. Pusslen omfattar vanligtvis hashoperationer som måste uppfylla specifika kriterier. Klientpussel används ofta i scenarier som att förhindra SYN-flooding, begränsa autentiseringshastigheten och mildra botnet-drivna attacker, vilket säkerställer att legitima klienter kan komma åt resurser samtidigt som skadlig trafik hindras. I det här projektet har jag föreslagit ett nytt QUIC-protokoll med en pusselfunktion. Det föreslagna protokollet syftar till att hantera tre angreppsscenarier: angrepp mot anslutningsresurser, angrepp mot beräkningsresurser och angrepp mot förstärkning av återuppspelning. Min lösning för dessa tre angreppsscenarier är enkel att implementera och kräver mindre resurser än andra befintliga försvar mot dessa angrepp. Dessutom stoppar min lösning attacken på ett effektivt sätt, vilket minskar den potentiella förlusten innan den upptäcks.