清華大學博士生陳建軍(導師段海新教授)等研究者在美國舉行的學術會議NDSS'16上發表的論文“Forwarding-LoopAttacksinContentDeliveryNetworks”被評為傑出論文(DistinguishedPaper)。NDSS(NetworkandDistributedSystemSecuritySymposium)是國際公認的網絡和系統安全四大頂級學術會議(BIG4)之一,2016年從389篇文章中錄取了60篇優秀的研究論文(錄取率15.4%),包括本論文在内的4篇論文被評為傑出論文。本論文是中國科研機構在網絡和系統安全領域國際頂級會議上獲得的首個最佳論文獎(之前北大王鐵磊、韋韬等曾獲Security&Privacy'10最佳學生論文獎)
CDN(ContentDeliveryNetworks)目前被廣泛運用于互聯網中,用來解決網站的性能、安全和可靠性等問題。更具體地講,CDN通過緩存網站内容提升網站性能;通過過濾惡意請求來提升網站安全性(Web應用防火牆,即WAF);并通過提供豐富的帶寬和計算資源來化解分布式拒絕服務(DDoS)攻擊。CDN已經逐漸演化成互聯網重要的基礎設施,承載着主流網站的Web訪問流量。然而,CDN本身的安全,尤其是CDN本身的可用性(Availability)沒有被系統地研究過。
清華大學段海新教授的研究團隊率先對CDN本身的可用性做了系統的研究。通過對16個商業CDN廠家的大量實際測試,他們發現,作為目前網站加速和防範DDoS攻擊的最佳實踐,CDN本身存在着嚴重的結構性問題,使得CDN本身可以成為DoS攻擊的對象。由于CDN的客戶可以控制CDN轉發的目标,惡意的客戶可以利用該控制權來配置惡意的轉發規則,讓CDN在轉發用戶請求時形成環路,從而消耗CDN的資源(如可用TCP端口、CPU、帶寬等)。利用轉發循環攻擊的放大效應(Amplification),攻擊者隻需要非常有限的網絡帶寬就可能大量消耗CDN的資源從而影響它的可用性。研究者發現,目前盡管有部分CDN廠商已采取了一些措施防止循環攻擊,但這些防禦措施都可以被繞過。研究者把這種攻擊稱為CDN轉發循環(ForwardingLoop)攻擊,從簡單到複雜可以構造CDN節點自循環(SelfLoop)、同一CDN内的多節點循環(Intra-CDNloop)、多CDN廠商多節點循環(Inter-CDNloop)以及高級的大壩攻擊(Damfloodingattack)和gzip炸彈攻擊,最終可能導緻對多個CDN廠商大規模的拒絕服務攻擊,從而嚴重威脅互聯網基礎設施的安全。
作者采取了嚴謹負責的通報和披露措施,在論文發布之前已經通知所有測試過的CDN廠商,并得到了積極的反饋和廣泛重視。在論文寫作過程中,研究者和百度、CloudFlare、阿裡、騰訊和Verizon等公司的技術人員進行了廣泛的溝通和交流,共同探讨解決方案。由于防範這種攻擊需要多個廠商統一協調的行動,清華團隊計劃作為公益性第三方的角色協調各廠商的安全防範技術規範。
研究團隊簡介
本研究成果的主要完成者來自清華大學網絡與信息安全實驗室(NISL,隸屬于清華大學網絡科學與網絡空間研究院),實驗室段海新、諸葛建偉等老師帶領實驗室長期從事網絡和系統安全領域的研究,近年來在安全領域國際頂級學術會議(Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等)上發表了多篇學術論文,研究成果在學術界和工業界都産生了較大影響力。以實驗室為基地發起的藍蓮花(Blue-Lotus)戰隊在國際網絡安全對抗賽(CTF)上多次取得好成績,連續三年闖入美國DEFCON總決賽。在研究過程中,研究者與國内外學術與工業界都建立起了廣泛的合作關系。
論文合作者
陳建軍,清華計算機系/網絡與信息安全實驗室,博士研究生
江健,博士畢業于清華計算機系/網絡與信息安全實驗室,現為UCBerkeley博士後
鄭曉峰,清華計算機系/網絡與信息安全實驗室碩士研究生
段海新,清華大學網絡科學與網絡空間研究院,研究員
梁錦津,博士畢業于清華大學,現就職于奇虎360公司
李康,GeorgiaUniversity教授
萬濤,華為加拿大,研究員
VernPaxson,UCBerkeley及國際計算機科學研究所(ICSI)教授