中国学者携手国际互联网公司破解网络大规模 中国教育网讯 近日,大学网络科学与网络空间研究院博士生陈建军(导师段海授)等研究者在美国举行的学术会议NDSS’16上发表的论文“Forwarding-LoopAttacksin Content Delivery Networks”被评为杰出论文(DistinguishedPaper)。该研究此前与国内外几大互联网公司百度、CloudFlare、阿里、腾讯和Verizon等分享,统一协调各公司行动,并共同探讨制定出解决方案。 当前,CDN(Content Delivery Networks)目前被广泛运用于互联网中,用来解决网站的性能、安全和可靠性等问题。更具体地讲,CDN通过缓存网站内容提升网站性能;通过过滤恶意请求来提升网站安全性(Web应用防火墙,即WAF);并通过提供丰富的带宽和计算资源来化解分布式服务(DDoS)。CDN已经逐渐演化成互联网重要的基础设施,承载着主流网站的Web访问流量。然而,CDN本身的安全,尤其是CDN本身的可用性(Availability)没有被系统地研究过。 大学网络科学与网络空间研究院段海授的研究团队率先对CDN本身的可用性做了系统的研究。通过对16个商业CDN厂家的大量实际测试,他们发现,作为目前网站加速和防范DDoS的最佳实践,CDN本身存在着严重的结构性问题,使得CDN本身可以成为被DoS的对象。由于CDN的客户可以控制CDN转发的径,恶意的客户可以利用该控制权来配置恶意的转发规则,让CDN在转发用户请求时形成环从而消耗CDN的资源(如可用端口数量、CPU、带宽等)。利用转发环的放大效应(Amplification),者只需要非常有限的网络带宽就可能严重影响CDN的可用性。研究发现,目前尽管有部分CDN已采取了一些措施防止循环,但这些防御措施都可以被绕过。研究者把这种被称为CDN转发循环(ForwardingLoop),从简单到复杂可以构造CDN节点自循环(SelfLoop)、同一CDN厂商的多节点循环(Intra-CDNloop)、多CDN厂商多节点循环(Inter-CDNloop)、高级的大坝(Damfloodingattack)和gzip,最终可能导致对多个CDN厂商大规模服务,从而严重互联网基础设施的安全。 作者采取了严谨负责的通报和披露措施,在论文发布之前已经通知所有测试过的CDN厂商,并得到了积极的反馈和广泛重视。研究者和百度、CloudFlare、阿里、腾讯和Verizon等公司的技术人员进行了广泛的沟通和交流,共同探讨解决方案。由于防范这种需要多个厂商统一协调的行动,团队计划作为公益性第三方的角色协调各厂商的安全防范技术规范。 据了解,本研究的主要完成者来自大学网络与信息安全实验室(隶属于大学网络科学与网络空间研究院),实验室段海新、诸葛建伟等老师带领实验室长期从事网络和系统安全领域的研究,近年来在安全领域国际学术会议(Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等)上发表了多篇学术论文,研究在学术界和工业界都产生了较大影响力。以实验室为发起的蓝(Blue-Lotus)战队在国际网络安全对抗赛(CTF)上多次取得好成绩,连续三年闯入DEFCON总决赛。在研究过程中,研究者与国内外学术与工业界都建立起了广泛的合作关系。 论文合作者 陈建军,大学计算机系/网络与信息安全实验室,博士研究生 江健,博士毕业于大学计算机系/网络与信息安全实验室,现为UCBerkeley博士后 郑晓峰,大学计算机系/网络与信息安全实验室硕士研究生 段海新,大学网络科学与网络空间研究院,研究员 梁锦津,博士毕业于大学网络与信息安全实验室,现就职于奇虎360公司 李康,Georgia University 教授 万涛,华为,研究员 VernPaxson,UCBerkeley及国际计算机科学研究所(ICSI)教授
特别声明:本站注明来源为其他的文/图等均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。 网络安全人才缺口大 每年相关专业毕业生仅8千余人 网络安全学术名师&新秀面对面 2015十大网络安全事件 网络安全从防患做起 布鲁斯·麦康纳:网络安全是中美两国的共同利益 现代操作系统和协议栈中的存储侧信道 蒋东兴:网络信息安全工作需要跨界 众高校携手协同应对信息安全 推荐: |
