GeekPWN 2019: 我们首次披露并演示新型DDoS攻击-RangeAMP攻击

攻击者坐在咖啡厅、打开笔记本就能让世界上最流行的网站瘫痪吗?

在GeekPwn2019国际安全极客大赛上,我们成功演示了利用RangeAmp攻击对出口带宽为3Gbps的网站服务器实施DDoS攻击。受害者网站为主办方提供的位于中国的网站服务器(域名为cdntest.geekpwn.org),攻击持续5分钟以上。如图所示,在攻击期间,目标网站服务器的出口带宽被完全耗尽。主办方在受害者网站首页上放置了两张图片,大小分别为6.4MB 和5.3MB。在攻击之前,网站首页加载延迟大约为2s;在攻击期间,主办方多次访问网站首页,加载延迟几乎每次都超过20s。

这种新型方式被命名为 RangeAmp Attack,攻击者可利用 HTTP 设计缺陷以及 CDN 通用实现缺陷对任意部署 Web 服务的站点进行 DDoS 攻击的场景。攻击者无需控制僵尸网络,仅通过较低配置的个人电脑、低带宽网络就可以发起大规模 DDoS 攻击,使对应的网站拒绝服务。

该攻击具有以下几个特点:

  1. 攻击者攻击成本低。攻击者可以在低配置、低带宽的环境下发起攻击,且不需要购买任何CDN服务,便可利用CDN发起攻击;

  2. 在该攻击下,受害者将被消耗大量的带宽,造成较大经济损失;而且,受害者很难通过传统的DDoS防御方案(IP清洗、连接限速等)来进行缓解;

  3. 攻击者的真实IP将隐藏在CDN背后,很难被追踪。

视频链接

GeekPwn现场演示视频

内容分发网络(CDN)本来是当前防范拒绝服务攻击的最佳实践,然而攻击者可以利用当前CDN设计和实现中的漏洞把它变成威力巨大的分布式拒绝服务攻击(DDoS)武器,可以用它来攻击任意的网站,甚至攻击CDN平台自身。这是一种流量放大类型的攻击,其放大倍数远远超过NTP、DNS等反射攻击。

我们对全球13个主流CDN进行了测量,发现这13个CDN都存在潜在的SBR攻击,能够被用于攻击大多数网站服务器;发现11种CDN级联组合(涵盖了6个CDN)存在潜在的OBR攻击,将直接威胁CDN的网络可用性。

在某些场景中,SBR攻击的流量放大倍数高达4万多倍,OBR攻击的流量放大倍数高达7500,远远超过大多数已知攻击方法。此外,这类攻击无需利用僵尸网络,而且能够绕过CDN的DDoS检测机制,还可能给受害者造成巨大的金钱损失。

攻击者可以滥用易受攻击的CDN来攻击大多数网站和CDN服务。RangeAmp攻击的攻击成本非常低,影响范围非常广,流量放大倍数非常高。这类攻击将严重威胁网站和CDN服务的可用性,我们的研究提前暴露了这类攻击,能够帮助潜在受害者充分理解攻击原理和危害。

论文信息

最新进展

  • 2020年03月,该工作被DSN 2020录用。
  • 2020年05月,该工作被评为DSN2020 Best Paper 候选论文之一。
  • 2020年07月,该工作被评为DSN 2020 最佳论文(1/285)。

相关报道:

  1. GeekPwn(内含演示视频): RangeAmp攻击:一台电脑便可让世界上最流行的网站瘫痪

  2. 奇安信研究院: 清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击

  3. ITNews: 清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击

  4. Inforsec: RangeAmp攻击:将CDN变成DDoS加农炮

  5. Zdnet: RangeAmp attacks can take down websites and CDN servers

  6. Dosarrest: How the RangeAmp attack works

  7. Itnews: RangeAmp attacks turn CDNs into giant DoS cannons

  8. Cyware: New RangeAmp Attacks Threaten Major CDN Providers

沈凯文
沈凯文
清华大学 博士研究生

我们团队在近几年的研究中揭示了一个共性的问题,协议在多方理解与实现中不一致带来的安全问题。欢迎对此感兴趣的研究者们加入我们,一起合作探讨:)

下一页
上一页