10月24日-25日在上海舉行的極棒（GeekPwn）2019國(guó)際安全極客大賽上，清華-奇安信安全聯(lián)合研究中心組成的參賽隊(duì)伍（TQL）演示了一種全新的利用互聯(lián)網(wǎng)通用協(xié)議未知缺陷的攻擊。該攻擊可以利用HTTP的設(shè)計(jì)缺陷和CDN的實(shí)現(xiàn)缺陷，打破CDN的DDoS防御。

本次參賽隊(duì)伍（TQL）成員來(lái)自清華-奇安信聯(lián)合研究院，他們將團(tuán)隊(duì)最新的研究成果帶到比賽現(xiàn)場(chǎng)，演示了如何利用HTTP協(xié)議設(shè)計(jì)缺陷以及CDN實(shí)現(xiàn)缺陷來(lái)對(duì)目標(biāo)網(wǎng)站發(fā)起大規(guī)模DDoS攻擊。在現(xiàn)場(chǎng)評(píng)委以及觀眾的見(jiàn)證下，成功完成了對(duì)極棒指定目標(biāo)網(wǎng)站的DDoS攻擊。

HTTP協(xié)議是互聯(lián)網(wǎng)最為重要的基礎(chǔ)協(xié)議之一，甚至可以說(shuō)HTTP協(xié)議支撐著互聯(lián)網(wǎng)幾乎所有主流應(yīng)用的正常運(yùn)轉(zhuǎn)，因此其安全問(wèn)題長(zhǎng)期以來(lái)備受學(xué)術(shù)界和工業(yè)界的關(guān)注。清華-奇安信聯(lián)合研究中心長(zhǎng)期致力于HTTP等互聯(lián)網(wǎng)基礎(chǔ)協(xié)議安全的研究。截至目前，本次披露的HTTP相關(guān)基礎(chǔ)協(xié)議缺陷，已發(fā)現(xiàn)國(guó)內(nèi)外多個(gè)知名廠商的CDN系統(tǒng)都可被用于實(shí)施DDoS攻擊。

據(jù)參賽隊(duì)員介紹，與傳統(tǒng)的DDoS攻擊原理不同，本次披露的問(wèn)題主要源于基礎(chǔ)協(xié)議設(shè)計(jì)缺陷以及CDN實(shí)現(xiàn)缺陷。此外，該攻擊具有以下幾個(gè)特點(diǎn)：
 

1.      攻擊者攻擊成本低。攻擊者可以在低配置、低帶寬的環(huán)境下發(fā)起攻擊，且不需要購(gòu)買任何CDN服務(wù)，便可利用CDN發(fā)起攻擊；

2.  在該攻擊下，受害者將被消耗大量的帶寬，造成較大經(jīng)濟(jì)損失；而且，受害者很難通過(guò)傳統(tǒng)的DDoS防御方案（IP清洗、連接限速等）來(lái)進(jìn)行緩解；

3.      攻擊者的真實(shí)IP將隱藏在CDN背后，很難被追蹤。

據(jù)悉，清華-奇安信安全聯(lián)合研究中心將在后續(xù)負(fù)責(zé)任地進(jìn)行漏洞披露流程，積極協(xié)助廠商修復(fù)相關(guān)缺陷、避免實(shí)際危害發(fā)生。相關(guān)安全缺陷的檢測(cè)防御方案已經(jīng)部署到奇安信安域等安全解決方案及產(chǎn)品當(dāng)中，能夠幫助客戶抵御DDoS相關(guān)攻擊威脅。同時(shí)，清華-奇安信研究團(tuán)隊(duì)也將積極與騰訊等相關(guān)廠商共同合作探索CDN安全治理方案。
清華-奇安信網(wǎng)絡(luò)安全聯(lián)合研究中心，是清華大學(xué)網(wǎng)絡(luò)研究院和奇安信集團(tuán)共同成立的聯(lián)合研究機(jī)構(gòu)，結(jié)合清華大學(xué)和奇安信集團(tuán)在學(xué)術(shù)研究、產(chǎn)業(yè)服務(wù)中的優(yōu)勢(shì)，面向世界學(xué)術(shù)和技術(shù)前沿開(kāi)展研究，服務(wù)于國(guó)家和社會(huì)對(duì)網(wǎng)絡(luò)空間安全的戰(zhàn)略需求。研究團(tuán)隊(duì)在漏洞挖掘與攻防領(lǐng)域有豐富的經(jīng)驗(yàn)，團(tuán)隊(duì)在國(guó)際四大頂級(jí)安全會(huì)議中發(fā)表多篇論文，在世界學(xué)術(shù)和工業(yè)界有廣泛的影響力，孕育了“藍(lán)蓮花”等國(guó)際知名黑客戰(zhàn)隊(duì)。

標(biāo)簽： 新型DDoS攻擊 GeekPwn 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。