清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击

2026-01-24

　攻击者坐在咖啡厅、打开笔记本就能让世界上最流行的网站瘫痪吗?

　　10月24日-25日在上海举行的极棒(GeekPwn)2019国际安全极客大赛上，清华-奇安信安全联合研究中心组成的参赛队伍(TQL)演示了一种全新的利用互联网通用协议未知缺陷的攻击。该攻击可以利用HTTP的设计缺陷和CDN的实现缺陷，打破CDN的DDoS防御。

　　

----清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击//----

　　本次参赛队伍(TQL)成员来自清华-奇安信联合研究院，他们将团队最新的研究成果带到比赛现场，演示了如何利用HTTP协议设计缺陷以及CDN实现缺陷来对目标网站发起大规模DDoS攻击。在现场评委以及观众的见证下，成功完成了对极棒指定目标网站的DDoS攻击。

清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击。　　HTTP协议是互联网最为重要的基础协议之一，甚至可以说HTTP协议支撑着互联网几乎所有主流应用的正常运转，因此其安全问题长期以来备受学术界和工业界的关注。清华-奇安信联合研究中心长期致力于HTTP等互联网基础协议安全的研究。截至目前，本次披露的HTTP相关基础协议缺陷，已发现国内外多个知名厂商的CDN系统都可被用于实施DDoS攻击。

清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击。　　

----清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击//----

----清华-奇安信联合团队在GeekPwn上首次披露新型DDoS攻击//----

　　据参赛队员介绍，与传统的DDoS攻击原理不同，本次披露的问题主要源于基础协议设计缺陷以及CDN实现缺陷。此外，该攻击具有以下几个特点：

　　1. 攻击者攻击成本低。攻击者可以在低配置、低带宽的环境下发起攻击，且不需要购买任何CDN服务，便可利用CDN发起攻击;

　　2. 在该攻击下，受害者将被消耗大量的带宽，造成较大经济损失;而且，受害者很难通过传统的DDoS防御方案(IP清洗、连接限速等)来进行缓解;

　　3. 攻击者的真实IP将隐藏在CDN背后，很难被追踪。

　　据悉，清华-奇安信安全联合研究中心将在后续负责任地进行漏洞披露流程，积极协助厂商修复相关缺陷、避免实际危害发生。相关安全缺陷的检测防御方案已经部署到奇安信安域等安全解决方案及产品当中，能够帮助客户抵御DDoS相关攻击威胁。同时，清华-奇安信研究团队也将积极与腾讯等相关厂商共同合作探索CDN安全治理方案。

推荐阅读

上一篇：「央视新闻」这个军礼，无比帅气！

下一篇：腾讯安全发现多款安卓手机漏洞，可致APP自动安装及运行