讯近日，大学网络科学与网络空间研究院博士生陈建军（导师段海授）等研究者在美国举行的学术会议NDSS’16上发表的论文“Forwarding-LoopAttacksinContentDeliveryNetworks”被评为杰出论文（DistinguishedPaper）。该研究此前与国内外几大互联网公司百度、CloudFlare、阿里、腾讯和Verizon等分享，统一协调各公司行动，并共同探讨制定出解决方案。

当前，CDN（ContentDeliveryNetworks）目前被广泛运用于互联网中，用来解决网站的性能、安全和可靠性等问题。更具体地讲，CDN通过缓存网站内容提升网站性能；通过过滤恶意请求来提升网站安全性（Web应用防火墙，即WAF）；并通过提供丰富的带宽和计算资源来化解分布式服务（DDoS）。CDN已经逐渐演化成互联网重要的基础设施，承载着主流网站的Web访问流量。然而，CDN本身的安全，尤其是CDN本身的可用性（Availability）没有被系统地研究过。

大学网络科学与网络空间研究院段海授的研究团队率先对CDN本身的可用性做了系统的研究。通过对16个商业CDN厂家的大量实际测试，他们发现，作为目前网站加速和防范DDoS的最佳实践，CDN本身存在着严重的结构性问题，使得CDN本身可以成为被DoS的对象。由于CDN的客户可以控制CDN转发的径，恶意的客户可以利用该控制权来配置恶意的转发规则，让CDN在转发用户请求时形成环从而消耗CDN的资源（如可用端口数量、CPU、带宽等）。利用转发环的放大效应（Amplification），者只需要非常有限的网络带宽就可能严重影响CDN的可用性。研究发现，目前尽管有部分CDN已采取了一些措施防止循环，但这些防御措施都可以被绕过。研究者把这种被称为CDN转发循环（ForwardingLoop），从简单到复杂可以构造CDN节点自循环（SelfLoop）、同一CDN厂商的多节点循环（Intra-CDNloop）、多CDN厂商多节点循环（Inter-CDNloop）、高级的大坝（Damfloodingattack）和gzip，最终可能导致对多个CDN厂商大规模服务，从而严重互联网基础设施的安全。

作者采取了严谨负责的通报和披露措施，在论文发布之前已经通知所有测试过的CDN厂商，并得到了积极的反馈和广泛重视。研究者和百度、CloudFlare、阿里、腾讯和Verizon等公司的技术人员进行了广泛的沟通和交流，共同探讨解决方案。由于防范这种需要多个厂商统一协调的行动，团队计划作为公益性第三方的角色协调各厂商的安全防范技术规范。

据了解，本研究的主要完成者来自大学网络与信息安全实验室（隶属于大学网络科学与网络空间研究院），实验室段海新、诸葛建伟等老师带领实验室长期从事网络和系统安全领域的研究，近年来在安全领域国际学术会议（Security&Privacy、USENIXSecurity、NDSS、SIGCOMM等）上发表了多篇学术论文，研究在学术界和工业界都产生了较大影响力。以实验室为发起的蓝（Blue-Lotus）战队在国际网络安全对抗赛（CTF）上多次取得好成绩，连续三年闯入DEFCON总决赛。在研究过程中，研究者与国内外学术与工业界都建立起了广泛的合作关系。

江健，博士毕业于计算机系/网络与信息安全实验室，现为UCBerkeley博士后