GeekPWN 2019: 我们首次披露并演示新型DDoS攻击-RangeAMP攻击
攻击者坐在咖啡厅、打开笔记本就能让世界上最流行的网站瘫痪吗?
在GeekPwn2019国际安全极客大赛上,我们成功演示了利用RangeAmp攻击对出口带宽为3Gbps的网站服务器实施DDoS攻击。受害者网站为主办方提供的位于中国的网站服务器(域名为cdntest.geekpwn.org),攻击持续5分钟以上。如图所示,在攻击期间,目标网站服务器的出口带宽被完全耗尽。主办方在受害者网站首页上放置了两张图片,大小分别为6.4MB 和5.3MB。在攻击之前,网站首页加载延迟大约为2s;在攻击期间,主办方多次访问网站首页,加载延迟几乎每次都超过20s。
这种新型方式被命名为 RangeAmp Attack,攻击者可利用 HTTP 设计缺陷以及 CDN 通用实现缺陷对任意部署 Web 服务的站点进行 DDoS 攻击的场景。攻击者无需控制僵尸网络,仅通过较低配置的个人电脑、低带宽网络就可以发起大规模 DDoS 攻击,使对应的网站拒绝服务。
该攻击具有以下几个特点:
攻击者攻击成本低。攻击者可以在低配置、低带宽的环境下发起攻击,且不需要购买任何CDN服务,便可利用CDN发起攻击;
在该攻击下,受害者将被消耗大量的带宽,造成较大经济损失;而且,受害者很难通过传统的DDoS防御方案(IP清洗、连接限速等)来进行缓解;
攻击者的真实IP将隐藏在CDN背后,很难被追踪。
内容分发网络(CDN)本来是当前防范拒绝服务攻击的最佳实践,然而攻击者可以利用当前CDN设计和实现中的漏洞把它变成威力巨大的分布式拒绝服务攻击(DDoS)武器,可以用它来攻击任意的网站,甚至攻击CDN平台自身。这是一种流量放大类型的攻击,其放大倍数远远超过NTP、DNS等反射攻击。
我们对全球13个主流CDN进行了测量,发现这13个CDN都存在潜在的SBR攻击,能够被用于攻击大多数网站服务器;发现11种CDN级联组合(涵盖了6个CDN)存在潜在的OBR攻击,将直接威胁CDN的网络可用性。
在某些场景中,SBR攻击的流量放大倍数高达4万多倍,OBR攻击的流量放大倍数高达7500,远远超过大多数已知攻击方法。此外,这类攻击无需利用僵尸网络,而且能够绕过CDN的DDoS检测机制,还可能给受害者造成巨大的金钱损失。
攻击者可以滥用易受攻击的CDN来攻击大多数网站和CDN服务。RangeAmp攻击的攻击成本非常低,影响范围非常广,流量放大倍数非常高。这类攻击将严重威胁网站和CDN服务的可用性,我们的研究提前暴露了这类攻击,能够帮助潜在受害者充分理解攻击原理和危害。
最新进展
- 2020年03月,该工作被DSN 2020录用。
- 2020年05月,该工作被评为DSN2020 Best Paper 候选论文之一。
- 2020年07月,该工作被评为DSN 2020 最佳论文(1/285)。
相关报道:
GeekPwn(内含演示视频): RangeAmp攻击:一台电脑便可让世界上最流行的网站瘫痪
奇安信研究院: 清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击
ITNews: 清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击
Inforsec: RangeAmp攻击:将CDN变成DDoS加农炮
Zdnet: RangeAmp attacks can take down websites and CDN servers
Dosarrest: How the RangeAmp attack works