?

NDSS'16會議在美國舉行清華陳建軍等關(guān)于CDN攻擊的研究獲杰出論文獎

清華大學(xué)博士生陳建軍（導(dǎo)師段海新教授）等研究者在美國舉行的學(xué)術(shù)會議NDSS'16 上發(fā)表的論文“Forwarding-Loop Attacks in Content Delivery Networks” 被評為杰出論文（Distinguished Paper）。NDSS（Network and Distributed System Security Symposium）是國際公認(rèn)的網(wǎng)絡(luò)和系統(tǒng)安全四大頂級學(xué)術(shù)會議（BIG4）之一，2016年從 389 篇文章中錄取了60篇優(yōu)秀的研究論文（錄取率15.4%），包括本論文在內(nèi)的4篇論文被評為杰出論文。本論文是中國科研機(jī)構(gòu)在網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域國際頂級會議上獲得的首個最佳論文獎（之前北大王鐵磊、韋韜等曾獲Security&Privacy'10最佳學(xué)生論文獎）

CDN（Content Delivery Networks）目前被廣泛運(yùn)用于互聯(lián)網(wǎng)中，用來解決網(wǎng)站的性能、安全和可靠性等問題。更具體地講，CDN通過緩存網(wǎng)站內(nèi)容提升網(wǎng)站性能；通過過濾惡意請求來提升網(wǎng)站安全性（Web應(yīng)用防火墻，即 WAF）；并通過提供豐富的帶寬和計算資源來化解分布式拒絕服務(wù)（DDoS）攻擊。CDN已經(jīng)逐漸演化成互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施，承載著主流網(wǎng)站的Web訪問流量。然而，CDN本身的安全，尤其是 CDN本身的可用性（Availability）沒有被系統(tǒng)地研究過。

清華大學(xué)段海新教授的研究團(tuán)隊率先對 CDN 本身的可用性做了系統(tǒng)的研究。通過對16個商業(yè)CDN廠家的大量實際測試，他們發(fā)現(xiàn)，作為目前網(wǎng)站加速和防范DDoS 攻擊的最佳實踐，CDN本身存在著嚴(yán)重的結(jié)構(gòu)性問題，使得CDN本身可以成為DoS 攻擊的對象。由于CDN的客戶可以控制CDN轉(zhuǎn)發(fā)的目標(biāo)，惡意的客戶可以利用該控制權(quán)來配置惡意的轉(zhuǎn)發(fā)規(guī)則，讓CDN在轉(zhuǎn)發(fā)用戶請求時形成環(huán)路，從而消耗CDN的資源（如可用TCP端口、CPU、帶寬等）。利用轉(zhuǎn)發(fā)循環(huán)攻擊的放大效應(yīng)（Amplification），攻擊者只需要非常有限的網(wǎng)絡(luò)帶寬就可能大量消耗CDN的資源從而影響它的可用性。研究者發(fā)現(xiàn)，目前盡管有部分 CDN廠商已采取了一些措施防止循環(huán)攻擊，但這些防御措施都可以被繞過。研究者把這種攻擊稱為CDN轉(zhuǎn)發(fā)循環(huán)（Forwarding Loop）攻擊，從簡單到復(fù)雜可以構(gòu)造CDN節(jié)點自循環(huán)（Self Loop）、同一CDN內(nèi)的多節(jié)點循環(huán)（Intra-CDN loop）、多CDN廠商多節(jié)點循環(huán)（Inter-CDN loop）以及高級的大壩攻擊（Dam flooding attack）和gzip炸彈攻擊，最終可能導(dǎo)致對多個CDN廠商大規(guī)模的拒絕服務(wù)攻擊，從而嚴(yán)重威脅互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全。

作者采取了嚴(yán)謹(jǐn)負(fù)責(zé)的通報和披露措施，在論文發(fā)布之前已經(jīng)通知所有測試過的CDN廠商，并得到了積極的反饋和廣泛重視。在論文寫作過程中，研究者和百度、CloudFlare、阿里、騰訊和Verizon等公司的技術(shù)人員進(jìn)行了廣泛的溝通和交流，共同探討解決方案。由于防范這種攻擊需要多個廠商統(tǒng)一協(xié)調(diào)的行動，清華團(tuán)隊計劃作為公益性第三方的角色協(xié)調(diào)各廠商的安全防范技術(shù)規(guī)范。

研究團(tuán)隊簡介

本研究成果的主要完成者來自清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室（NISL，隸屬于清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院），實驗室段海新、諸葛建偉等老師帶領(lǐng)實驗室長期從事網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域的研究，近年來在安全領(lǐng)域國際頂級學(xué)術(shù)會議（Security&Privacy、USENIX Security、NDSS、SIGCOMM等）上發(fā)表了多篇學(xué)術(shù)論文，研究成果在學(xué)術(shù)界和工業(yè)界都產(chǎn)生了較大影響力。以實驗室為基地發(fā)起的藍(lán)蓮花（Blue-Lotus）戰(zhàn)隊在國際網(wǎng)絡(luò)安全對抗賽（CTF）上多次取得好成績，連續(xù)三年闖入美國DEFCON總決賽。在研究過程中，研究者與國內(nèi)外學(xué)術(shù)與工業(yè)界都建立起了廣泛的合作關(guān)系。

論文合作者

陳建軍，清華計算機(jī)系/網(wǎng)絡(luò)與信息安全實驗室，博士研究生

江 健，博士畢業(yè)于清華計算機(jī)系/網(wǎng)絡(luò)與信息安全實驗室，現(xiàn)為UC Berkeley博士后

鄭曉峰，清華計算機(jī)系/網(wǎng)絡(luò)與信息安全實驗室碩士研究生

段海新，清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院，研究員

梁錦津，博士畢業(yè)于清華大學(xué)，現(xiàn)就職于奇虎360公司

李 康，Georgia University 教授

萬 濤，華為加拿大，研究員

Vern Paxson，UC Berkeley及國際計算機(jī)科學(xué)研究所（ICSI）教授