?

NDSS'16會(huì)議在美國(guó)舉行清華陳建軍等關(guān)于CDN攻擊的研究獲杰出論文獎(jiǎng)

清華大學(xué)博士生陳建軍（導(dǎo)師段海新教授）等研究者在美國(guó)舉行的學(xué)術(shù)會(huì)議NDSS'16 上發(fā)表的論文“Forwarding-Loop Attacks in Content Delivery Networks” 被評(píng)為杰出論文（Distinguished Paper）。NDSS（Network and Distributed System Security Symposium）是國(guó)際公認(rèn)的網(wǎng)絡(luò)和系統(tǒng)安全四大頂級(jí)學(xué)術(shù)會(huì)議（BIG4）之一，2016年從 389 篇文章中錄取了60篇優(yōu)秀的研究論文（錄取率15.4%），包括本論文在內(nèi)的4篇論文被評(píng)為杰出論文。本論文是中國(guó)科研機(jī)構(gòu)在網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域國(guó)際頂級(jí)會(huì)議上獲得的首個(gè)最佳論文獎(jiǎng)（之前北大王鐵磊、韋韜等曾獲Security&Privacy'10最佳學(xué)生論文獎(jiǎng)）

CDN（Content Delivery Networks）目前被廣泛運(yùn)用于互聯(lián)網(wǎng)中，用來(lái)解決網(wǎng)站的性能、安全和可靠性等問(wèn)題。更具體地講，CDN通過(guò)緩存網(wǎng)站內(nèi)容提升網(wǎng)站性能；通過(guò)過(guò)濾惡意請(qǐng)求來(lái)提升網(wǎng)站安全性（Web應(yīng)用防火墻，即 WAF）；并通過(guò)提供豐富的帶寬和計(jì)算資源來(lái)化解分布式拒絕服務(wù)（DDoS）攻擊。CDN已經(jīng)逐漸演化成互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施，承載著主流網(wǎng)站的Web訪問(wèn)流量。然而，CDN本身的安全，尤其是 CDN本身的可用性（Availability）沒(méi)有被系統(tǒng)地研究過(guò)。

清華大學(xué)段海新教授的研究團(tuán)隊(duì)率先對(duì) CDN 本身的可用性做了系統(tǒng)的研究。通過(guò)對(duì)16個(gè)商業(yè)CDN廠家的大量實(shí)際測(cè)試，他們發(fā)現(xiàn)，作為目前網(wǎng)站加速和防范DDoS 攻擊的最佳實(shí)踐，CDN本身存在著嚴(yán)重的結(jié)構(gòu)性問(wèn)題，使得CDN本身可以成為DoS 攻擊的對(duì)象。由于CDN的客戶可以控制CDN轉(zhuǎn)發(fā)的目標(biāo)，惡意的客戶可以利用該控制權(quán)來(lái)配置惡意的轉(zhuǎn)發(fā)規(guī)則，讓CDN在轉(zhuǎn)發(fā)用戶請(qǐng)求時(shí)形成環(huán)路，從而消耗CDN的資源（如可用TCP端口、CPU、帶寬等）。利用轉(zhuǎn)發(fā)循環(huán)攻擊的放大效應(yīng)（Amplification），攻擊者只需要非常有限的網(wǎng)絡(luò)帶寬就可能大量消耗CDN的資源從而影響它的可用性。研究者發(fā)現(xiàn)，目前盡管有部分 CDN廠商已采取了一些措施防止循環(huán)攻擊，但這些防御措施都可以被繞過(guò)。研究者把這種攻擊稱(chēng)為CDN轉(zhuǎn)發(fā)循環(huán)（Forwarding Loop）攻擊，從簡(jiǎn)單到復(fù)雜可以構(gòu)造CDN節(jié)點(diǎn)自循環(huán)（Self Loop）、同一CDN內(nèi)的多節(jié)點(diǎn)循環(huán)（Intra-CDN loop）、多CDN廠商多節(jié)點(diǎn)循環(huán)（Inter-CDN loop）以及高級(jí)的大壩攻擊（Dam flooding attack）和gzip炸彈攻擊，最終可能導(dǎo)致對(duì)多個(gè)CDN廠商大規(guī)模的拒絕服務(wù)攻擊，從而嚴(yán)重威脅互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全。

作者采取了嚴(yán)謹(jǐn)負(fù)責(zé)的通報(bào)和披露措施，在論文發(fā)布之前已經(jīng)通知所有測(cè)試過(guò)的CDN廠商，并得到了積極的反饋和廣泛重視。在論文寫(xiě)作過(guò)程中，研究者和百度、CloudFlare、阿里、騰訊和Verizon等公司的技術(shù)人員進(jìn)行了廣泛的溝通和交流，共同探討解決方案。由于防范這種攻擊需要多個(gè)廠商統(tǒng)一協(xié)調(diào)的行動(dòng)，清華團(tuán)隊(duì)計(jì)劃作為公益性第三方的角色協(xié)調(diào)各廠商的安全防范技術(shù)規(guī)范。

研究團(tuán)隊(duì)簡(jiǎn)介

本研究成果的主要完成者來(lái)自清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室（NISL，隸屬于清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院），實(shí)驗(yàn)室段海新、諸葛建偉等老師帶領(lǐng)實(shí)驗(yàn)室長(zhǎng)期從事網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域的研究，近年來(lái)在安全領(lǐng)域國(guó)際頂級(jí)學(xué)術(shù)會(huì)議（Security&Privacy、USENIX Security、NDSS、SIGCOMM等）上發(fā)表了多篇學(xué)術(shù)論文，研究成果在學(xué)術(shù)界和工業(yè)界都產(chǎn)生了較大影響力。以實(shí)驗(yàn)室為基地發(fā)起的藍(lán)蓮花（Blue-Lotus）戰(zhàn)隊(duì)在國(guó)際網(wǎng)絡(luò)安全對(duì)抗賽（CTF）上多次取得好成績(jī)，連續(xù)三年闖入美國(guó)DEFCON總決賽。在研究過(guò)程中，研究者與國(guó)內(nèi)外學(xué)術(shù)與工業(yè)界都建立起了廣泛的合作關(guān)系。

論文合作者

陳建軍，清華計(jì)算機(jī)系/網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室，博士研究生

江 健，博士畢業(yè)于清華計(jì)算機(jī)系/網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室，現(xiàn)為UC Berkeley博士后

鄭曉峰，清華計(jì)算機(jī)系/網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室碩士研究生

段海新，清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院，研究員

梁錦津，博士畢業(yè)于清華大學(xué)，現(xiàn)就職于奇虎360公司

李 康，Georgia University 教授

萬(wàn) 濤，華為加拿大，研究員

Vern Paxson，UC Berkeley及國(guó)際計(jì)算機(jī)科學(xué)研究所（ICSI）教授