攻击者坐在咖啡厅、打开笔记本就能让世界上最流行的网站瘫痪吗?
10月24日-25日在上海举行的极棒(GeekPwn)2019国际安全极客大赛上,清华-奇安信安全联合研究中心组成的参赛队伍(TQL)演示了一种全新的利用互联网通用协议未知缺陷的攻击。该攻击可以利用HTTP的设计缺陷和CDN的实现缺陷,打破CDN的DDoS防御。
本次参赛队伍(TQL)成员来自清华-奇安信联合研究院,他们将团队最新的研究成果带到比赛现场,演示了如何利用HTTP协议设计缺陷以及CDN实现缺陷来对目标网站发起大规模DDoS攻击。在现场评委以及观众的见证下,成功完成了对极棒指定目标网站的DDoS攻击。
HTTP协议是互联网最为重要的基础协议之一,甚至可以说HTTP协议支撑着互联网几乎所有主流应用的正常运转,因此其安全问题长期以来备受学术界和工业界的关注。清华-奇安信联合研究中心长期致力于HTTP等互联网基础协议安全的研究。截至目前,本次披露的HTTP相关基础协议缺陷,已发现国内外多个知名厂商的CDN系统都可被用于实施DDoS攻击。
据参赛队员介绍,与传统的DDoS攻击原理不同,本次披露的问题主要源于基础协议设计缺陷以及CDN实现缺陷。此外,该攻击具有以下几个特点:
1. 攻击者攻击成本低。攻击者可以在低配置、低带宽的环境下发起攻击,且不需要购买任何CDN服务,便可利用CDN发起攻击;
2. 在该攻击下,受害者将被消耗大量的带宽,造成较大经济损失;而且,受害者很难通过传统的DDoS防御方案(IP清洗、连接限速等)来进行缓解;
3. 攻击者的真实IP将隐藏在CDN背后,很难被追踪。
据悉,清华-奇安信安全联合研究中心将在后续负责任地进行漏洞披露流程,积极协助厂商修复相关缺陷、避免实际危害发生。相关安全缺陷的检测防御方案已经部署到奇安信安域等安全解决方案及产品当中,能够帮助客户抵御DDoS相关攻击威胁。同时,清华-奇安信研究团队也将积极与腾讯等相关厂商共同合作探索CDN安全治理方案。
清华-奇安信网络安全联合研究中心,是清华大学网络研究院和奇安信集团共同成立的联合研究机构,结合清华大学和奇安信集团在学术研究、产业服务中的优势,面向世界学术和技术前沿开展研究,服务于国家和社会对网络空间安全的战略需求。研究团队在漏洞挖掘与攻防领域有丰富的经验,团队在国际四大顶级安全会议中发表多篇论文,在世界学术和工业界有广泛的影响力,孕育了“蓝莲花”等国际知名黑客战队。