清華學(xué)生網(wǎng)絡(luò)安全新突破 獲評(píng)國際頂級(jí)會(huì)議優(yōu)秀論文

    【移動(dòng)通信網(wǎng)】清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院博士生陳建軍（導(dǎo)師段海新教授）等研究者在美國舉行的學(xué)術(shù)會(huì)議NDSS’16上發(fā)表的論文“Forwarding-LoopAttacksinContentDeliveryNetworks”被評(píng)為杰出論文（DistinguishedPaper）。該研究成果此前與國內(nèi)外幾大互聯(lián)網(wǎng)公司百度、CloudFlare、阿里、騰訊和Verizon等分享，統(tǒng)一協(xié)調(diào)各公司行動(dòng)，并共同探討制定出解決方案。

    NDSS（NetworkandDistributedSystemSecuritySymposium）是國際公認(rèn)的網(wǎng)絡(luò)和系統(tǒng)安全四大頂級(jí)學(xué)術(shù)會(huì)議（BIG4）之一，2016年從389篇文章中錄取了60篇優(yōu)秀的研究論文（錄取率15.4%），包括本論文在內(nèi)的4篇論文被評(píng)為杰出論文（DistinguishedPaper）。

    當(dāng)前，CDN（ContentDeliveryNetworks）目前被廣泛運(yùn)用于互聯(lián)網(wǎng)中，用來解決網(wǎng)站的性能、安全和可靠性等問題。更具體地講，CDN通過緩存網(wǎng)站內(nèi)容提升網(wǎng)站性能；通過過濾惡意請(qǐng)求來提升網(wǎng)站安全性（Web應(yīng)用防火墻，即WAF）；并通過提供豐富的帶寬和計(jì)算資源來化解分布式拒絕服務(wù)（DDoS）攻擊。CDN已經(jīng)逐漸演化成互聯(lián)網(wǎng)重要的基礎(chǔ)設(shè)施，承載著主流網(wǎng)站的Web訪問流量。然而，CDN本身的安全，尤其是CDN本身的可用性（Availability）沒有被系統(tǒng)地研究過。

    清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院段海新教授的研究團(tuán)隊(duì)率先對(duì)CDN本身的可用性做了系統(tǒng)的研究。通過對(duì)16個(gè)商業(yè)CDN廠家的大量實(shí)際測(cè)試，他們發(fā)現(xiàn)，作為目前網(wǎng)站加速和防范DDoS攻擊的最佳實(shí)踐，CDN本身存在著嚴(yán)重的結(jié)構(gòu)性問題，使得CDN本身可以成為被DoS攻擊的對(duì)象。由于CDN的客戶可以控制CDN轉(zhuǎn)發(fā)的路徑，惡意的客戶可以利用該控制權(quán)來配置惡意的轉(zhuǎn)發(fā)規(guī)則，讓CDN在轉(zhuǎn)發(fā)用戶請(qǐng)求時(shí)形成環(huán)路從而消耗CDN的資源（如可用端口數(shù)量、CPU、帶寬等）。利用轉(zhuǎn)發(fā)環(huán)路攻擊的放大效應(yīng)（Amplification），攻擊者只需要非常有限的網(wǎng)絡(luò)帶寬就可能嚴(yán)重影響CDN的可用性。研究發(fā)現(xiàn)，目前盡管有部分CDN已采取了一些措施防止循環(huán)攻擊，但這些防御措施都可以被繞過。研究者把這種攻擊被稱為CDN轉(zhuǎn)發(fā)循環(huán)（ForwardingLoop）攻擊，從簡(jiǎn)單到復(fù)雜可以構(gòu)造CDN節(jié)點(diǎn)自循環(huán)（SelfLoop）、同一CDN廠商的多節(jié)點(diǎn)循環(huán)（Intra-CDNloop）、多CDN廠商多節(jié)點(diǎn)循環(huán)（Inter-CDNloop）、高級(jí)的大壩攻擊（Damfloodingattack）和gzip炸彈攻擊，最終可能導(dǎo)致對(duì)多個(gè)CDN廠商大規(guī)模拒絕服務(wù)攻擊，從而嚴(yán)重威脅互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的安全。

    作者采取了嚴(yán)謹(jǐn)負(fù)責(zé)的通報(bào)和披露措施，在論文發(fā)布之前已經(jīng)通知所有測(cè)試過的CDN廠商，并得到了積極的反饋和廣泛重視。研究者和百度、CloudFlare、阿里、騰訊和Verizon等公司的技術(shù)人員進(jìn)行了廣泛的溝通和交流，共同探討解決方案。由于防范這種攻擊需要多個(gè)廠商統(tǒng)一協(xié)調(diào)的行動(dòng)，清華團(tuán)隊(duì)計(jì)劃作為公益性第三方的角色協(xié)調(diào)各廠商的安全防范技術(shù)規(guī)范。   

    據(jù)了解，本研究成果的主要完成者來自清華大學(xué)網(wǎng)絡(luò)與信息安全實(shí)驗(yàn)室（隸屬于清華大學(xué)網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院），實(shí)驗(yàn)室段海新、諸葛建偉等老師帶領(lǐng)實(shí)驗(yàn)室長(zhǎng)期從事網(wǎng)絡(luò)和系統(tǒng)安全領(lǐng)域的研究，近年來在安全領(lǐng)域國際頂級(jí)學(xué)術(shù)會(huì)議（Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等）上發(fā)表了多篇學(xué)術(shù)論文，研究成果在學(xué)術(shù)界和工業(yè)界都產(chǎn)生了較大影響力。以實(shí)驗(yàn)室為基地發(fā)起的藍(lán)蓮花（Blue-Lotus）戰(zhàn)隊(duì)在國際網(wǎng)絡(luò)安全對(duì)抗賽（CTF）上多次取得好成績(jī)，連續(xù)三年闖入DEFCON總決賽。在研究過程中，研究者與國內(nèi)外學(xué)術(shù)與工業(yè)界都建立起了廣泛的合作關(guān)系。