2018年针对互联网缓存和CDN的攻击.pdf

1、2018/9/121针对互联网缓存和CDN的攻击清华大学-360企业安全集团联合研究中心主任目录 HTTP/HTTPS协议及中间节点 透明缓存的污染攻击 绕过加密协议HTTPS的攻击 针对CDN的拒绝服务攻击 结论2018/9/122HTTP最初的设计与应用场景 HTTP设计之初是端到端的协议 网络只是传输转发的透明管道 没有身份认证、保密性、完整性保护 网络攻击者：假冒、窃听、注入、重放GET/path/urlHTTP/攻击者假冒、窃听、重放、注入HTTPS：认证、加密、完整性 HTTPS:HTTP/SSL 或HTTP/TLS Web 服务器的标识与认证 内容的保密性（Confidentia

2、lity）内容的完整性（Integrity）攻击者2018/9/123中间盒子的兴起 与HTTPS同步发展起来的还有各种中间盒子 HTTP 客户端代理、防病毒软件、广告软件等 服务器端代理、负载均衡设备 透明缓存和CDN服务 协议转换设备，v4-v6CDNIDS/IPSNAT可以通过攻破中间网络窃听通信、注入恶意代码通过攻击中间节点阻止通信目录 HTTP/HTTPS协议及中间节点 透明缓存的污染攻击 绕过加密协议HTTPS的攻击 针对CDN的拒绝服务攻击 结论2018/9/124标准的歧义Cache or ProxiesCDNGET nonhttp:/ Host headers8Downstr

3、eamClientUpstreamGET/HTTP/1.1Host:Host:GET/HTTP/1.1Host:Host:Host:Host:HTTPstandard(HTTP/1.1)RFC 2616(supersededstandard),implicitly requiresrejection.RFC 7230(lateststandard),explicitly requiresrejection.2018/9/125各种主流的HTTP实现9实现实现处理方式处理方式实现实现处理方式处理方式 实现实现处理方式处理方式ServerApacheConcatenateCDNAkamaiFirs

4、tFirewallBitdefenderFirstIISRejectAlibabaFirstESETLastNginxFirstAzureRejectHuaweiFirstTomcatFirstCloudFlareFirstKasperskyFirstTransparentcacheATSFirstCloudFrontFirstOS XConcatenateSquidFirstFastlyRejectPANFirstReverseProxyNginxFirstLevel 3FirstWindowsFirstVarnishRejectTencentLast主流的HTTP实现各不相同几乎所有的实现

5、都不遵守 RFC7230标准规定绝对路径优先，然而现实中10优先选择优先选择不认识的协议不认识的协议RFC 2616Absolute-URI Not specified RFC 7230Absolute-URI Not specified HTTP 标准规定：主流的CDN实现中，大多数实现遵守了RFC 最大的CDN厂商Akamai不遵守，但世界35%流量2018/9/126缓存污染攻击(CCS 2016)NSA.GOVCache/PCDNHTTP Request:GET http:/NSA.GOV/path HTTP/1.1Host:ATTACKER.comMiddle box Confuse

6、d:NSA or ATTACKER?如何攻破 NSA.GOV122018/9/127可能被攻击的场景（上下游组合）13202different combinations thatcouldbe exploited.影响到的产品/系统142018/9/12898%缓存服务器可能受到攻击15 通过购买广告，把Flash 代码展示在世界各地的浏览器上目录 HTTP/HTTPS协议及中间节点 透明缓存的污染攻击 绕过加密协议HTTPS的攻击 针对CDN的拒绝服务攻击 结论2018/9/129CDN已成为互联网重要的基础设施 全球，根据最大的CDN厂商Akamai统计：全球Web流量的15-30%每秒3