2018 ISC大会：段海新教授解析互联网缓存与CDN安全挑战

在2018年国际信息安全大会（ISC）上，清华大学-360企业安全集团联合研究中心的段海新教授深入探讨了互联网缓存和内容分发网络（CDN）面临的攻击威胁。讲座分为五个主要部分： 1. **HTTP/HTTPS协议与中间节点**： HTTP最初设计为端到端的协议，不提供身份验证、保密性和完整性保护，这使得网络攻击者可以进行假冒、窃听、注入和重放攻击。随着HTTPS的出现，它结合了HTTP和SSL/TLS，提供了认证、加密以及内容的保密性和完整性。然而，与HTTPS同步发展的中间盒子如客户端代理、防病毒软件等，成为潜在的攻击目标，它们可能被利用窃取通信内容或注入恶意代码。 2. **透明缓存的污染攻击**： 透明缓存，如CDN中的缓存服务，如果被恶意利用，可能导致数据污染。攻击者可能通过修改缓存内容，误导后续用户的请求，影响用户体验，甚至进行数据操纵。 3. **绕过加密协议HTTPS的攻击**： 虽然HTTPS提供了安全性，但并非无懈可击。教授讨论了可能存在的漏洞，如某些中间节点可能存在解析错误或攻击者通过技术手段尝试绕过加密，以获取敏感信息。 4. **针对CDN的拒绝服务攻击**： CDN作为网络基础设施，若遭受拒绝服务攻击（DDoS），可能对整个网络造成严重影响。攻击者可能会利用CDN的结构特性，放大攻击流量，导致正常服务无法访问。 5. **标准的歧义与合规性**： 在处理多Host头请求时，不同版本的HTTP标准对此有不同的规定。早期的RFC2616暗示了对这类请求的拒绝，而最新的RFC7230则明确要求拒绝。这种标准差异可能导致实际应用中出现误解或漏洞。 段海新的演讲强调了互联网缓存和CDN在保障网络安全方面的重要性，同时也揭示了这些技术所面临的挑战和攻击手段。了解并应对这些问题，对于确保网络服务的稳定和用户隐私的安全至关重要。