清华大学博士生陈建军(导师段海新教授)等研究者在美国举行的学术会议NDSS’16 上发表的论文 “Forwarding-Loop Attacks in Content Delivery Networks” 被评为杰出论文 。
NDSS(Network and Distributed System Security Symposium)是国际公认的网络和系统安全四大顶级学术会议(BIG4)之一,2016年从 389 篇文章中录取了60篇优秀的研究论文(录取率15.4%),包括本论文在内的4篇论文被评为杰出论文(Distinguished Paper)。
CDN的全称是Content Delivery Network(内容分发网络),通过在网络各处的加速节点服务器来为网站抵挡恶意流量,把正常流量进行转发。用简单点的话来说,CDN一般有三个作用
1. 跨运营商加速:我们自己的网站常常只属于一个运营商(比如:电信),而加速节点遍布每家运营商,于是和网站不同运营商(比如:联通)的用户访问起来就不会那么慢了。
2. 缓存加速:很多的静态资源以及一部分页面更新都是比较慢的(比如首页),这个时候CDN就会根据浏览器的max-age和last-modified值以及管理员的预设值来进行缓存,于是很多流量CDN节点就不会每次都来向网站请求,CDN节点可以直接自作主张地将命中的缓存内容返回。
3. 恶意流量过滤:这是CDN非常重要的一个作用,也是很多网站会用CDN的原因,因为CDN能为我们抵挡攻击大流量攻击、普通的攻击(比如注入等),只有正常流量才会转发给网站。
然而,CDN本身的安全,尤其是 CDN 本身的可用性(Availability) 没有被系统地研究过。
清华大学段海新教授的研究团队率先对 CDN 本身的可用性做了系统的研究。通过对16个商业CDN厂家的大量实际测试,他们发现,作为目前网站加速和防范 DDoS 攻击的最佳实践,CDN本身存在着严重的结构性问题,使得CDN本身可以成为DoS 攻击的对象。由于CDN的客户可以控制CDN转发的目标,恶意的客户可以利用该控制权来配置恶意的转发规则,让CDN在转发用户请求时形成环路,从而消耗CDN的资源(如可用TCP端口、CPU、带宽等)。利用转发循环攻击的放大效应(Amplification),攻击者只需要非常有限的网络带宽就可能大量消耗CDN的资源从而影响它的可用性。
研究者发现,目前尽管有部分 CDN厂商已采取了一些措施防止循环攻击,但这些防御措施都可以被绕过。研究者把这种攻击称为CDN转发循环(Forwarding Loop)攻击,从简单到复杂可以构造CDN节点自循环(Self Loop)、同一CDN内的多节点循环(Intra-CDN loop)、多CDN厂商多节点循环(Inter-CDN loop)以及高级的大坝攻击(Dam flooding attack)和gzip炸弹攻击,最终可能导致对多个CDN厂商大规模的拒绝服务攻击,从而严重威胁互联网基础设施的安全。
作者采取了严谨负责的通报和披露措施,在论文发布之前已经通知所有测试过的CDN厂商,并得到了积极的反馈和广泛重视。在论文写作过程中,研究者和百度、CloudFlare、阿里、腾讯和Verizon等公司的技术人员进行了广泛的沟通和交流,共同探讨解决方案。由于防范这种攻击需要多个厂商统一协调的行动,清华团队计划作为公益性第三方的角色协调各厂商的安全防范技术规范。
本研究成果的主要完成者来自清华大学网络与信息安全实验室(NISL,隶属于清华大学网络科学与网络空间研究院),实验室段海新、诸葛建伟等老师带领实验室长期从事网络和系统安全领域的研究,近年来在安全领域国际顶级学术会议(Security&Privacy、USENIX Security、NDSS、SIGCOMM等)上发表了多篇学术论文,研究成果在学术界和工业界都产生了较大影响力。以实验室为基地发起的蓝莲花(Blue-Lotus)战队在国际网络安全对抗赛(CTF)上多次取得好成绩,连续三年闯入美国DEFCON总决赛。在研究过程中,研究者与国内外学术与工业界都建立起了广泛的合作关系。
论文合作者
陈建军,清华计算机系/网络与信息安全实验室,博士研究生
江 健,博士毕业于清华计算机系/网络与信息安全实验室,现为UC Berkeley博士后
郑晓峰,清华计算机系/网络与信息安全实验室硕士研究生
段海新,清华大学网络科学与网络空间研究院,研究员
梁锦津,博士毕业于清华网络与信息安全实验室,现就职于奇虎360公司
李 康,Georgia University 教授
万 涛,华为加拿大,研究员
Vern Paxson,UC Berkeley及国际计算机科学研究所(ICSI)教授
附 论文原文 和 报告视频 !
* 参考来源 inforsec ,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)