清華學(xué)生網(wǎng)絡(luò)安全新突破 獲評國際頂級會議優(yōu)秀論文

    【移動通信網(wǎng)】清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院博士生陳建軍（導(dǎo)師段海新教授）等研究者在美國舉行的學(xué)術(shù)會議NDSS’16上發(fā)表的論文“Forwarding-LoopAttacksinContentDeliveryNetworks”被評為杰出論文（DistinguishedPaper）。該研究成果此前與國內(nèi)外幾大互聯(lián)網(wǎng)公司百度、CloudFlare、阿里、騰訊和Verizon等分享，統(tǒng)一協(xié)調(diào)各公司行動，并共同探討制定出解決方案。

    NDSS（NetworkandDistributedSystemSecuritySymposium）是國際公認的網(wǎng)絡(luò)和系統(tǒng)安全四大頂級學(xué)術(shù)會議（BIG4）之一，2016年從389篇文章中錄取了60篇優(yōu)秀的研究論文（錄取率15.4%），包括本論文在內(nèi)的4篇論文被評為杰出論文（DistinguishedPaper）。

    當前，CDN（ContentDeliveryNetworks）目前被廣泛運用于互聯(lián)網(wǎng)中，用來解決網(wǎng)站的性能、安全和可靠性等問題。更具體地講，CDN通過緩存網(wǎng)站內(nèi)容提升網(wǎng)站性能；通過過濾惡意請求來提升網(wǎng)站安全性（Web應(yīng)用防火墻，即WAF）；并通過提供豐富的帶寬和計算資源來化解分布式拒絕服務(wù)（DDoS）攻擊。CDN已經(jīng)逐漸演化成互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施，承載著主流網(wǎng)站的Web訪問流量。然而，CDN本身的安全，尤其是CDN本身的可用性（Availability）沒有被系統(tǒng)地研究過。

    清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院段海新教授的研究團隊率先對CDN本身的可用性做了系統(tǒng)的研究。通過對16個商業(yè)CDN廠家的大量實際測試，他們發(fā)現(xiàn)，作為目前網(wǎng)站加速和防范DDoS攻擊的最佳實踐，CDN本身存在著嚴重的結(jié)構(gòu)性問題，使得CDN本身可以成為被DoS攻擊的對象。由于CDN的客戶可以控制CDN轉(zhuǎn)發(fā)的路徑，惡意的客戶可以利用該控制權(quán)來配置惡意的轉(zhuǎn)發(fā)規(guī)則，讓CDN在轉(zhuǎn)發(fā)用戶請求時形成環(huán)路從而消耗CDN的資源（如可用端口數(shù)量、CPU、帶寬等）。利用轉(zhuǎn)發(fā)環(huán)路攻擊的放大效應(yīng)（Amplification），攻擊者只需要非常有限的網(wǎng)絡(luò)帶寬就可能嚴重影響CDN的可用性。研究發(fā)現(xiàn)，目前盡管有部分CDN已采取了一些措施防止循環(huán)攻擊，但這些防御措施都可以被繞過。研究者把這種攻擊被稱為CDN轉(zhuǎn)發(fā)循環(huán)（ForwardingLoop）攻擊，從簡單到復(fù)雜可以構(gòu)造CDN節(jié)點自循環(huán)（SelfLoop）、同一CDN廠商的多節(jié)點循環(huán)（Intra-CDNloop）、多CDN廠商多節(jié)點循環(huán)（Inter-CDNloop）、高級的大壩攻擊（Damfloodingattack）和gzip炸彈攻擊，最終可能導(dǎo)致對多個CDN廠商大規(guī)模拒絕服務(wù)攻擊，從而嚴重威脅互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全。

    作者采取了嚴謹負責的通報和披露措施，在論文發(fā)布之前已經(jīng)通知所有測試過的CDN廠商，并得到了積極的反饋和廣泛重視。研究者和百度、CloudFlare、阿里、騰訊和Verizon等公司的技術(shù)人員進行了廣泛的溝通和交流，共同探討解決方案。由于防范這種攻擊需要多個廠商統(tǒng)一協(xié)調(diào)的行動，清華團隊計劃作為公益性第三方的角色協(xié)調(diào)各廠商的安全防范技術(shù)規(guī)范。   

    據(jù)了解，本研究成果的主要完成者來自清華大學(xué)網(wǎng)絡(luò)與信息安全實驗室（隸屬于清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院），實驗室段海新、諸葛建偉等老師帶領(lǐng)實驗室長期從事網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域的研究，近年來在安全領(lǐng)域國際頂級學(xué)術(shù)會議（Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等）上發(fā)表了多篇學(xué)術(shù)論文，研究成果在學(xué)術(shù)界和工業(yè)界都產(chǎn)生了較大影響力。以實驗室為基地發(fā)起的藍蓮花（Blue-Lotus）戰(zhàn)隊在國際網(wǎng)絡(luò)安全對抗賽（CTF）上多次取得好成績，連續(xù)三年闖入DEFCON總決賽。在研究過程中，研究者與國內(nèi)外學(xué)術(shù)與工業(yè)界都建立起了廣泛的合作關(guān)系。