近日，福州大学计算机与大数据学院刘西蒙研究团队发现一类新型拒绝服务攻击，攻击者可以利用内容交付网络（CDN）直接对源站发起拒绝服务攻击，相关成果以“CDN Cannon: Exploiting CDN Back-to-Origin Strategies for Amplification Attack”为题发表于Usenix Security。

Usenix Security是信息安全领域四大顶级学术会议之一，始于上世纪90年代初，已有30余年历史，对信息安全领域具有重要影响，因录取率很低，发表难度极高。《Usenix Security》是CCF推荐A类会议，Core Conference Ranking A*类会议，H-5指数80，Impact Score 13.04。2024年的Usenix Security会议定于8月14日至26日在美国宾夕法尼亚州费城举行。

内容分发网络（CDN）可以为托管网站提供高可用性、加快内容分发速度并抵御分布式拒绝服务（DDoS）攻击。为实现上述目标，CDN设计了多种回源策略，主动预拉资源并修改HTTP请求和响应。然而，我们的研究发现，这些回源策略优先考虑的是性能而不是安全，这会导致网站带宽的过度消耗。针对这个问题，我们提出了一类新的放大攻击，称为“BtOAmp”攻击。这些攻击允许恶意攻击者利用“回源策略”，触发CDN贪婪地向网站索要超过必要的资源、最终导致网站崩溃。我们对十四个流行的CDN进行了BtOAmp攻击的评估，发现我们的攻击威胁到了所有托管在CDN上的网站。我们负责任地向受影响的CDN供应商披露我们的攻击细节并提出可能的缓解方案。最终，我们的研究成果得到了Azure（微软）、Aliyun（阿里云）、G-core、Cachefly、七牛云、又拍云等知名CDN厂商的认可。

论文录用信息

Ziyu Lin,Zhiwei Lin*,Ximeng Liu*,Jianjun Chen*,Guo Run,Cheng Chen,Shaodong Xiao."CDN Cannon:Exploiting CDN Back-to-Origin Strategies for Amplification Attack",accepted by Usenix Security 2024

论文第一作者为福州大学计算机与大数据学院硕士生林子瑜，通讯作者分别为刘西蒙老师和陈建军老师，通讯单位分别为福州大学和清华大学。论文获得国家自然科学基金面上项目和福建省自然科学基金面上项目的支持。

供稿学院：计算机与大数据学院

撰稿人：林子瑜

校核人：江雯婷

审核人：傅茂松