GeekPWN 2019: 我们首次披露并演示新型DDoS攻击-RangeAMP攻击

在GeekPwn2019国际安全极客大赛上，我们成功演示了利用RangeAmp攻击对出口带宽为3Gbps的网站服务器实施DDoS攻击。受害者网站为主办方提供的位于中国的网站服务器（域名为cdntest.geekpwn.org），攻击持续5分钟以上。如图所示，在攻击期间，目标网站服务器的出口带宽被完全耗尽。主办方在受害者网站首页上放置了两张图片，大小分别为6.4MB 和5.3MB。在攻击之前，网站首页加载延迟大约为2s；在攻击期间，主办方多次访问网站首页，加载延迟几乎每次都超过20s。

这种新型方式被命名为 RangeAmp Attack，攻击者可利用 HTTP 设计缺陷以及 CDN 通用实现缺陷对任意部署 Web 服务的站点进行 DDoS 攻击的场景。攻击者无需控制僵尸网络，仅通过较低配置的个人电脑、低带宽网络就可以发起大规模 DDoS 攻击，使对应的网站拒绝服务。

该攻击具有以下几个特点：

1. 攻击者攻击成本低。攻击者可以在低配置、低带宽的环境下发起攻击，且不需要购买任何CDN服务，便可利用CDN发起攻击;

2. 在该攻击下，受害者将被消耗大量的带宽，造成较大经济损失;而且，受害者很难通过传统的DDoS防御方案(IP清洗、连接限速等)来进行缓解;

3. 攻击者的真实IP将隐藏在CDN背后，很难被追踪。

视频链接

GeekPwn现场演示视频

内容分发网络（CDN）本来是当前防范拒绝服务攻击的最佳实践，然而攻击者可以利用当前CDN设计和实现中的漏洞把它变成威力巨大的分布式拒绝服务攻击（DDoS）武器，可以用它来攻击任意的网站，甚至攻击CDN平台自身。这是一种流量放大类型的攻击，其放大倍数远远超过NTP、DNS等反射攻击。

我们对全球13个主流CDN进行了测量，发现这13个CDN都存在潜在的SBR攻击，能够被用于攻击大多数网站服务器；发现11种CDN级联组合（涵盖了6个CDN）存在潜在的OBR攻击，将直接威胁CDN的网络可用性。

在某些场景中，SBR攻击的流量放大倍数高达4万多倍，OBR攻击的流量放大倍数高达7500，远远超过大多数已知攻击方法。此外，这类攻击无需利用僵尸网络，而且能够绕过CDN的DDoS检测机制，还可能给受害者造成巨大的金钱损失。

攻击者可以滥用易受攻击的CDN来攻击大多数网站和CDN服务。RangeAmp攻击的攻击成本非常低，影响范围非常广，流量放大倍数非常高。这类攻击将严重威胁网站和CDN服务的可用性，我们的研究提前暴露了这类攻击，能够帮助潜在受害者充分理解攻击原理和危害。

论文信息

最新进展

• 2020年03月，该工作被DSN 2020录用。
• 2020年05月，该工作被评为DSN2020 Best Paper 候选论文之一。
• 2020年07月，该工作被评为DSN 2020 最佳论文（1/285）。

相关报道：

1. GeekPwn(内含演示视频): RangeAmp攻击：一台电脑便可让世界上最流行的网站瘫痪

2. 奇安信研究院: 清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击

3. ITNews: 清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击

4. Inforsec: RangeAmp攻击：将CDN变成DDoS加农炮

5. Zdnet: RangeAmp attacks can take down websites and CDN servers

6. Dosarrest: How the RangeAmp attack works

7. Itnews: RangeAmp attacks turn CDNs into giant DoS cannons

8. Cyware: New RangeAmp Attacks Threaten Major CDN Providers