CDN(Content Delivery Networks)目前被广泛运用于互联网中,用来解决网站的性能、安全和可靠性等问题。更具体地讲,CDN通过缓存网站内容提升网站性能;通过过滤恶意请求来提升网站安全性(Web应用防火墙,即 WAF);并通过提供丰富的带宽和计算资源来化解分布式拒绝服务(DDoS)攻击。CDN 已经逐渐演化成互联网重要的基础设施,承载着主流网站的W e b访问流量。然而,CDN本身的安全,尤其是 CDN本身的可用性(Availability) 没有被系统地研究过。
清华大学段海新教授的研究团队率先对 CDN 本身的可用性做了系统的研究。通过对16个商业CDN厂家的大量实际测试,他们发现,作为目前网站加速和防范 DDoS 攻击的最佳实践,CDN本身存在着严重的结构性问题,使得CDN本身可以成为DoS 攻击的对象。由于CDN的客户可以控制CDN转发的目标,恶意的客户可以利用该控制权来配置恶意的转发规则,让CDN在转发用户请求时形成环路,从而消耗CDN的资源(如可用TCP端口、CPU、带宽等)。利用转发循环攻击的放大效应(Amplification),攻击者只需要非常有限的网络带宽就可能大量消耗CDN的资源从而影响它的可用性。研究者发现,目前尽管有部分 CDN厂商已采取了一些措施防止循环攻击,但这些防御措施都可以被绕过。研究者把这种攻击称为CDN转发循环(Forwarding Loop)攻击,从简单到复杂可以构造CDN节点自循环(Self Loop)、同一 CDN内的多节点循环(Intra-CDN loop)、多CDN厂商多节点循环(Inter-CDN loop)以及高级的大坝攻击(Dam flooding attack)和gzip炸弹攻击,最终可能导致对多个CDN厂商大规模的拒绝服务攻击,从而严重威胁互联网基础设施的安全。
作者采取了严谨负责的通报和披露措施,在论文发布之前已经通知所有测试过的CDN厂商,并得到了积极的反馈和广泛重视。在论文写作过程中,研究者和百度、CloudFlare、阿里、腾讯和Verizon等公司的技术人员进行了广泛的沟通和交流,共同探讨解决方案。由于防范这种攻击需要多个厂商统一协调的行动,清华团队计划作为公益性第三方的角色协调各厂商的安全防范技术规范。
研究团队简介
本研究成果的主要完成者来自清华大学网络与信息安全实验室(NISL,隶属于清华大学网络科学与网络空间研究院),实验室段海新、诸葛建伟等老师带领实验室长期从事网络和系统安全领域的研究,近年来在安全领域国际顶级学术会议(Security&Privacy、USENIX Security、NDSS、SIGCOMM等)上发表了多篇学术论文,研究成果在学术界和工业界都产生了较大影响力。以实验室为基地发起的蓝莲花(Blue-Lotus)战队在国际网络安全对抗赛(CTF)上多次取得好成绩,连续三年闯入美国DEFCON总决赛。在研究过程中,研究者与国内外学术与工业界都建立起了广泛的合作关系。
论文合作者
陈建军,清华计算机系/网络与信息安全实验室,博士研究生
江健,博士毕业于清华计算机系/网络与信息安全实验室,现为UC Berkeley博士后
郑晓峰,清华计算机系/网络与信息安全实验室硕士研究生
段海新,清华大学网络科学与网络空间研究院,研究员
梁锦津,博士毕业于清华大学,现就职于奇虎360公司
李康,Georgia University 教授
万涛,华为加拿大,研究员
Vern Paxson,UC Berkeley及国际计算机科学研究所(ICSI)教授