10月24日-25日在上海举行的极棒(GeekPwn)2019国际安适极客大赛上,清华-奇安信安适联合研究中心构成的参赛队伍(TQL)演示了一种全新的操作互联网通用协议未知缺陷的打击。该打击可以操作HTTP的设计缺陷和CDN的实现缺陷,冲破CDN的DDoS防御。
本次参赛队伍(TQL)成员来自清华-奇安信联合研究院,他们将团队最新的研究成就带到角逐现场,演示了如何操作HTTP协议设计缺陷以及CDN实现缺陷来对方针网站倡议大规模DDoS打击。在现场评委以及不雅观众的见证下,告成完成了对极棒指定方针网站的DDoS打击。
HTTP协议是互联网最为重要的根本协议之一,甚至可以说HTTP协议支撑着互联网几乎所有主流应用的正常运转,因此其安适问题恒久以来备受学术界和产业界的存眷。清华-奇安信联合研究中心恒久致力于HTTP等互联网根本协议安适的研究。截至目前,本次披露的HTTP相关根本协议缺陷,已发明国表里多个知名厂商的CDN系统都可被用于实施DDoS打击。
据参赛队员介绍,与传统的DDoS打击道理差别,本次披露的问题主要源于根本协议设计缺陷以及CDN实现缺陷。别的,该打击具有以下几个特点:
1. 打击者打击本钱低。打击者可以在低配置、低带宽的环境下倡议打击,且不需要采办任何CDN处事,便可操作CDN倡议打击;
2. 在该打击下,受害者将被消耗大量的带宽,造成较大经济损掉;而且,受害者很难通过传统的DDoS防御方案(IP清洗、连接限速等)来进行缓解;
3. 打击者的真实IP将隐藏在CDN背后,很难被追踪。
据悉,清华-奇安信安适联合研究中心将在后续卖力任地进行缝隙披露流程,积极协助厂商修复相关缺陷、制止实际风险产生。相关安适缺陷的检测防御方案已经部署到奇安信安域等安适解决方案及产品傍边,能够辅佐客户抵制DDoS相关打击威胁。同时,清华-奇安信研究团队也将积极与腾讯等相关厂商配合合作探索CDN安适治理方案。
清华-奇安信网络安适联合研究中心,是清华大学网络研究院和奇安信集团配合创立的联合研究机构,结合清华大学和奇安信集团在学术研究、财富处事中的优势,面向世界学术和技术前沿开展研究,处事于国家和社会对网络空间安适的战略需求。研究团队在缝隙挖掘与攻防止围有丰富的经验,团队在国际四大*安适会议中发表多篇论文,在世界学术和产业界有广泛的影响力,孕育了“蓝莲花”等国际知名黑客战队。