近日,清华大学网络科学与网络空间研究院博士生陈建军(导师段海新教授)等研究者在美国举行的学术会议NDSS’16上发表的论文“Forwarding-LoopAttacksinContentDeliveryNetworks”被评为杰出论文(DistinguishedPaper)。该研究成果此前与国内外几大互联网公司百度、CloudFlare、阿里、腾讯和Verizon等分享,统一协调各公司行动,并共同探讨制定出解决方案。
NDSS(NetworkandDistributedSystemSecuritySymposium)是国际公认的网络和系统安全四大顶级学术会议(BIG4)之一,2016年从389篇文章中录取了60篇优秀的研究论文(录取率15.4%),包括本论文在内的4篇论文被评为杰出论文(DistinguishedPaper)。
当前,CDN(ContentDeliveryNetworks)目前被广泛运用于互联网中,用来解决网站的性能、安全和可靠性等问题。更具体地讲,CDN通过缓存网站内容提升网站性能;通过过滤恶意请求来提升网站安全性(Web应用防火墙,即WAF);并通过提供丰富的带宽和计算资源来化解分布式拒绝服务(DDoS)攻击。CDN已经逐渐演化成互联网重要的基础设施,承载着主流网站的Web访问流量。然而,CDN本身的安全,尤其是CDN本身的可用性(Availability)没有被系统地研究过。
清华大学网络科学与网络空间研究院段海新教授的研究团队率先对CDN本身的可用性做了系统的研究。通过对16个商业CDN厂家的大量实际测试,他们发现,作为目前网站加速和防范DDoS攻击的最佳实践,CDN本身存在着严重的结构性问题,使得CDN本身可以成为被DoS攻击的对象。由于CDN的客户可以控制CDN转发的路径,恶意的客户可以利用该控制权来配置恶意的转发规则,让CDN在转发用户请求时形成环路从而消耗CDN的资源(如可用端口数量、CPU、带宽等)。利用转发环路攻击的放大效应(Amplification),攻击者只需要非常有限的网络带宽就可能严重影响CDN的可用性。研究发现,目前尽管有部分CDN已采取了一些措施防止循环攻击,但这些防御措施都可以被绕过。研究者把这种攻击被称为CDN转发循环(ForwardingLoop)攻击,从简单到复杂可以构造CDN节点自循环(SelfLoop)、同一CDN厂商的多节点循环(Intra-CDNloop)、多CDN厂商多节点循环(Inter-CDNloop)、高级的大坝攻击(Damfloodingattack)和gzip炸弹攻击,最终可能导致对多个CDN厂商大规模拒绝服务攻击,从而严重威胁互联网基础设施的安全。
作者采取了严谨负责的通报和披露措施,在论文发布之前已经通知所有测试过的CDN厂商,并得到了积极的反馈和广泛重视。研究者和百度、CloudFlare、阿里、腾讯和Verizon等公司的技术人员进行了广泛的沟通和交流,共同探讨解决方案。由于防范这种攻击需要多个厂商统一协调的行动,清华团队计划作为公益性第三方的角色协调各厂商的安全防范技术规范。
据了解,本研究成果的主要完成者来自清华大学网络与信息安全实验室(隶属于清华大学网络科学与网络空间研究院),实验室段海新、诸葛建伟等老师带领实验室长期从事网络和系统安全领域的研究,近年来在安全领域国际顶级学术会议(Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等)上发表了多篇学术论文,研究成果在学术界和工业界都产生了较大影响力。以实验室为基地发起的蓝莲花(Blue-Lotus)战队在国际网络安全对抗赛(CTF)上多次取得好成绩,连续三年闯入DEFCON总决赛。在研究过程中,研究者与国内外学术与工业界都建立起了广泛的合作关系。
论文合作者
陈建军,清华计算机系/网络与信息安全实验室,博士研究生
江健,博士毕业于清华计算机系/网络与信息安全实验室,现为UCBerkeley博士后
郑晓峰,清华计算机系/网络与信息安全实验室硕士研究生
段海新,清华大学网络科学与网络空间研究院,研究员
梁锦津,博士毕业于清华网络与信息安全实验室,现就职于奇虎360公司
李康,GeorgiaUniversity教授
万涛,华为加拿大,研究员
VernPaxson,UCBerkeley及国际计算机科学研究所(ICSI)教授