近日，清華大學網絡科學與網絡空間研究院博士生陳建軍(導師段海新教授)等研究者在美國舉行的學術會議NDSS’16上發表的論文“Forwarding-LoopAttacksinContentDeliveryNetworks”被評為杰出論文(DistinguishedPaper)。該研究成果此前與國內外幾大互聯網公司百度、CloudFlare、阿里、騰訊和Verizon等分享，統一協調各公司行動，并共同探討制定出解決方案。

　　NDSS(NetworkandDistributedSystemSecuritySymposium)是國際公認的網絡和系統安全四大頂級學術會議(BIG4)之一，2016年從389篇文章中錄取了60篇優秀的研究論文(錄取率15.4%)，包括本論文在內的4篇論文被評為杰出論文(DistinguishedPaper)。

　　當前，CDN(ContentDeliveryNetworks)目前被廣泛運用于互聯網中，用來解決網站的性能、安全和可靠性等問題。更具體地講，CDN通過緩存網站內容提升網站性能;通過過濾惡意請求來提升網站安全性(Web應用防火墻，即WAF);并通過提供豐富的帶寬和計算資源來化解分布式拒絕服務(DDoS)攻擊。CDN已經逐漸演化成互聯網重要的基礎設施，承載著主流網站的Web訪問流量。然而，CDN本身的安全，尤其是CDN本身的可用性(Availability)沒有被系統地研究過。

　　清華大學網絡科學與網絡空間研究院段海新教授的研究團隊率先對CDN本身的可用性做了系統的研究。通過對16個商業CDN廠家的大量實際測試，他們發現，作為目前網站加速和防范DDoS攻擊的最佳實踐，CDN本身存在著嚴重的結構性問題，使得CDN本身可以成為被DoS攻擊的對象。由于CDN的客戶可以控制CDN轉發的路徑，惡意的客戶可以利用該控制權來配置惡意的轉發規則，讓CDN在轉發用戶請求時形成環路從而消耗CDN的資源(如可用端口數量、CPU、帶寬等)。利用轉發環路攻擊的放大效應(Amplification)，攻擊者只需要非常有限的網絡帶寬就可能嚴重影響CDN的可用性。研究發現，目前盡管有部分CDN已采取了一些措施防止循環攻擊，但這些防御措施都可以被繞過。研究者把這種攻擊被稱為CDN轉發循環(ForwardingLoop)攻擊，從簡單到復雜可以構造CDN節點自循環(SelfLoop)、同一CDN廠商的多節點循環(Intra-CDNloop)、多CDN廠商多節點循環(Inter-CDNloop)、高級的大壩攻擊(Damfloodingattack)和gzip炸彈攻擊，最終可能導致對多個CDN廠商大規模拒絕服務攻擊，從而嚴重威脅互聯網基礎設施的安全。

　　作者采取了嚴謹負責的通報和披露措施，在論文發布之前已經通知所有測試過的CDN廠商，并得到了積極的反饋和廣泛重視。研究者和百度、CloudFlare、阿里、騰訊和Verizon等公司的技術人員進行了廣泛的溝通和交流，共同探討解決方案。由于防范這種攻擊需要多個廠商統一協調的行動，清華團隊計劃作為公益性第三方的角色協調各廠商的安全防范技術規范。

　　據了解，本研究成果的主要完成者來自清華大學網絡與信息安全實驗室(隸屬于清華大學網絡科學與網絡空間研究院)，實驗室段海新、諸葛建偉等老師帶領實驗室長期從事網絡和系統安全領域的研究，近年來在安全領域國際頂級學術會議(Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等)上發表了多篇學術論文，研究成果在學術界和工業界都產生了較大影響力。以實驗室為基地發起的藍蓮花(Blue-Lotus)戰隊在國際網絡安全對抗賽(CTF)上多次取得好成績，連續三年闖入DEFCON總決賽。在研究過程中，研究者與國內外學術與工業界都建立起了廣泛的合作關系。

　　論文合作者

　　陳建軍，清華計算機系/網絡與信息安全實驗室，博士研究生

　　江健，博士畢業于清華計算機系/網絡與信息安全實驗室，現為UCBerkeley博士后

　　鄭曉峰，清華計算機系/網絡與信息安全實驗室碩士研究生

　　段海新，清華大學網絡科學與網絡空間研究院，研究員

　　梁錦津，博士畢業于清華網絡與信息安全實驗室，現就職于奇虎360公司

　　李康，GeorgiaUniversity教授

　　萬濤，華為加拿大，研究員

　　VernPaxson，UCBerkeley及國際計算機科學研究所(ICSI)教授