攻擊者坐在咖啡廳、打開筆記本就能讓世界上最流行的網站癱瘓嗎?
10月24日-25日在上海舉行的極棒(GeekPwn)2019國際安全極客大賽上,清華-奇安信安全聯合研究中心組成的參賽隊伍(TQL)演示了一種全新的利用互聯網通用協議未知缺陷的攻擊。該攻擊可以利用HTTP的設計缺陷和CDN的實現缺陷,打破CDN的DDoS防禦。
本次參賽隊伍(TQL)成員來自清華-奇安信聯合研究院,他們將團隊最新的研究成果帶到比賽現場,演示瞭如何利用HTTP協議設計缺陷以及CDN實現缺陷來對目標網站發起大規模DDoS攻擊。在現場評委以及觀眾的見證下,成功完成了對極棒指定目標網站的DDoS攻擊。
HTTP協議是互聯網最為重要的基礎協議之一,甚至可以說HTTP協議支撐著互聯網幾乎所有主流應用的正常運轉,因此其安全問題長期以來備受學術界和工業界的關注。清華-奇安信聯合研究中心長期致力於HTTP等互聯網基礎協議安全的研究。截至目前,本次披露的HTTP相關基礎協議缺陷,已發現國內外多個知名廠商的CDN系統都可被用於實施DDoS攻擊。
據參賽隊員介紹,與傳統的DDoS攻擊原理不同,本次披露的問題主要源於基礎協議設計缺陷以及CDN實現缺陷。此外,該攻擊具有以下幾個特點:
1. 攻擊者攻擊成本低。攻擊者可以在低配置、低帶寬的環境下發起攻擊,且不需要購買任何CDN服務,便可利用CDN發起攻擊;
2. 在該攻擊下,受害者將被消耗大量的帶寬,造成較大經濟損失;而且,受害者很難通過傳統的DDoS防禦方案(IP清洗、連接限速等)來進行緩解;
3. 攻擊者的真實IP將隱藏在CDN背後,很難被追蹤。
據悉,清華-奇安信安全聯合研究中心將在後續負責任地進行漏洞披露流程,積極協助廠商修復相關缺陷、避免實際危害發生。相關安全缺陷的檢測防禦方案已經部署到奇安信安域等安全解決方案及產品當中,能夠幫助客戶抵禦DDoS相關攻擊威脅。同時,清華-奇安信研究團隊也將積極與騰訊等相關廠商共同合作探索CDN安全治理方案。
清華-奇安信網絡安全聯合研究中心,是清華大學網絡研究院和奇安信集團共同成立的聯合研究機構,結合清華大學和奇安信集團在學術研究、產業服務中的優勢,面向世界學術和技術前沿開展研究,服務於國家和社會對網絡空間安全的戰略需求。研究團隊在漏洞挖掘與攻防領域有豐富的經驗,團隊在國際四大頂級安全會議中發表多篇論文,在世界學術和工業界有廣泛的影響力,孕育了"藍蓮花"等國際知名黑客戰隊。
閱讀更多 時代洞察 的文章
