protocol

互联网基础协议层间交互安全研究及系列重大风险识别与防范

团队采用动态数据流分析的思想，创新性的从分层网络模型的“层间交互”这一新角度切入，深入追踪分析了网络系统运行过程中信息流交互的底层逻辑，构建了百万级规模的网络协议层间交互基础数据结构图，系统性地发现归纳了5种层间交互式漏洞范式，包括语义二义性、信息泄露、语义缺失、语义过载、身份欺骗，并给出了形式化定义和模型化的分析方法。
从云、边、端不同网络场景，构建了大规模实验测试环境，对服务器、路由/交换平台、接入设备、终端系统等多样化网络元素的不同协议栈实现，进行了深入的对比分析和挖掘测试。基于弱资源攻击条件下的威胁模型（即攻击者只具备基本的源IP地址伪造能力，且不在网络通信路径上），研究发现了4G LTE、5G、Wi-Fi、IPv4/IPv6、ICMPv4/ICMPv6、TCP、UDP、DNS等基础协议相关的多个隐蔽高危漏洞，向CVE、CNVD、CNNVD、NVDB等组织披露协议交互式漏洞累计100余个，漏洞影响到多个协议栈实现，包括Windows，Linux，FreeBSD，Mac OS，iOS，Android，Harmony，以及多个下游衍生系统及固件平台。

发现了互联网上超过20%的知名服务器和现实世界中超过89%的Wi-Fi网络存在被攻击劫持的风险
发现了全球范围内超过92%的4G LTE/5G蜂窝网络可被境外远程DoS攻击，形成网络通信中断
发现了高通、海思等知名芯片厂商NPU处理器中存在设计缺陷，影响10亿级数量规模的网络设备及产品，得到了高通官网的公开致谢
发现了分布在全球185个国家的超过97,500 台公共服务器（包括DNS服务器和Web服务器）存在漏洞，网络流量可被远程操控
发现了微软、腾讯、阿里、电信、华为等知名云服务提供商的云产品中，存在协议交互漏洞，可造成通信中断、网络停服
发现了Linux、FreeBSD、OpenWrt生态系统中的路由固件漏洞，可被攻击者利用劫持网络会话，影响现实世界中大量的下游路由设备
发现了4G LTE/5G蜂窝网络的融合计费系统（Converged Charging System）存在设计缺陷，可被远程操控，形成流量资费诈骗攻击

协议层间交互信息泄露问题

分析发现新型的混合式IPID分配机制，存在严重交互信息泄漏安全问题。
攻击者冒充成中间路由器，发送一个伪造的ICMP error消息，对服务器的IPID分配算法进行操控，欺骗服务器将出口TCP报文的IPID降级到哈希分配方式。一旦服务器将IPID降级到哈希方式，攻击者就可以通过哈希碰撞的方式，在服务器上构建一个IPID侧信道，跨层推理目标TCP连接的随机化序列号等信息。
试验结果表明，一个远程攻击者，可以在210秒内，注入一个恶意报文到目标TCP连接中，执行HTTP缓存污染攻击、SSH DoS攻击、BGP路由劫持攻击等，攻击成功率超过89% 。
大规模测量发现，全球超过20%的著名网站存在该漏洞，且IPv6/IPv4 双栈环境下，仍然存在混合式IPID信息泄露的问题，扩大了攻击影响范围。
成果获得ACM CCS 2020最佳论文提名和首届“国际基础科学大会前沿科学奖”（安全领域亚太地区唯一入选者）。

发表论文：Xuewei Feng, Chuanpu Fu, Qi Li, Kun Sun, Ke Xu.Off-Path TCP Exploits of the Mixed IPID Assignment,ACM CCS, 2020.

协议跨层交互二义性问题

分析发现路径MTU机制（PMTUD）在IP协议、ICMP协议、TCP协议三者跨层交互过程中，存在两种二义性问题，导致TCP报文仍然会被错误分片，引入新的攻击面。一种情况是中间路由器的MTU值，小于服务器的可接受路径MTU值，二者之间出现了失配二义性，导致中间路由器对服务器的TCP报文分片。一种情况是Linux服务器在处理伪造的ICMP消息时，会出现IP层和TCP层MTU值不同步问题，产生二义性，导致服务器对TCP报文分片。旁路的攻击者可以逃逸掉服务器的路径MTU发现机制，触发服务器的TCP报文出现异常分配，进而利用IP分片跨层污染攻击服务器的TCP流量。
大规模测量表明，互联网中存在大量具有MTU分片漏洞的路由器和服务器。最终，攻击者可以利用IP分片跨层污染TCP流量，实现HTTP重定向、Web缓存污染，BGP污染等攻击

MTU值过小的路由器大量存在

利用IP分片跨层污染TCP流量

有分片漏洞的服务器大量存在

BGP污染

HTTP 重定向劫持

发表论文：Xuewei Feng, Qi Li, Kun Sun, Ke Xu, Baojun Liu, Xiaofeng Zheng, Qiushi Yang, Haixin Duan, Zhiyun Qian. PMTUD is not Panacea: Revisiting IP Fragmentation Attacks against TCPP , NDSS, 2022.

web 缓存污染

协议层间交互语义缺失漏洞

分析发现ICMP error消息合法性审查机制未充分考虑无状态协议对ICMP error消息的触发，未充分考虑无状态协议对ICMP error消息的触发。
攻击者冒充成公共服务器的网关发送一个伪造的ICMP redirect消息，内嵌UDP等无状态协议，逃逸源主机审查，并将其下一跳网关指定为邻居主机，由于主机不具备分组转发功能，会将收到的流量丢弃掉，造成路由黑洞、形成对公共服务器的跨层DoS攻击。这一漏洞影响了当前很多主流的操作系统实现，包括Linux 2.6.20及以上内核版本，FreeBSD 8.2及以上内核版本，Android 4.3及以上内核版本，以及Mac OS 10.11及以上版本。

通过大规模测量与验证，我们发现分布在全球185个国家的超过97,500台服务器（Web服务器、DNS服务器、Tor节点等）存在被DoS攻击的风险，这些服务器分布在全球130个国家的2872个AS 中。

Xuewei Feng, Qi Li, Kun Sun, Zhiyuan Qian, Gang Zhao, Xiaohui Kuang, Chuanpu Fu, Ke Xu. Off-Path Network Traffic Manipulation via Revitalizing ICMP Redirect Attacks. USENIX Security, 2022

协议层间交互身份欺骗问题

研究发现AP路由器中的网络处理芯片（NPU）存在设计缺陷，导致其不能有效拦截攻击者发送的伪造消息, 攻击者可以利用地址欺骗技术冒充成AP，发送AP特有的ICMP error消息，欺骗其他终端相信攻击者是当前网络的新AP, 受害终端将攻击者指定为其路由的下一跳，引起链路层的多跳，进而破坏掉WPA3等安全加密机制的单跳安全保护能力，最终劫持到受害终端的明文流量。
团队对当前市场上10个AP厂商（NETGEAR，HUAWEI，TP-LINK，Tenda，H3C，Ruijie，Cisco，360，Xiaomi和MERCURY）的55款主流AP路由器进行了测试，发现当前主流的AP路由器均存在该安全问题，不能有效拦截伪造的ICMP消息，导致终端流量会被劫持。
实测了122个Wi-Fi网络，包括机场、咖啡店、旅馆、商场、电影院等，发现其中109（89%）个网络存在被劫持攻击的风险。

发表论文：Xuewei Feng, Qi Li, Kun Sun, Yuxiang Yang, Ke Xu. Man-in-the-Middle Attacks without Rogue AP: When WPAs Meet ICMP Redirects. IEEE S&P, 2023

影响

成果支撑团队获得2022年度中国电子学会科技进步奖一等奖。2022年6月，在电子学会组织的成果鉴定中，以丁文华院士为主任委员，尹浩院士、张宏科院士为副主任委员的鉴定委员会一致认为：“成果从协议层间交互语义一致性的新角度率先发现了系列影响重大的协议安全漏洞，对网络安全生态产生重大推进作用，达到国际领先水平”
获得首届“国际基础科学大会前沿科学奖”（安全领域亚太地区唯一入选者）
获得网络安全国际顶会CCS’2020最佳论文提名奖
截至2024年2月，累计向CVE、CNVD等组织和互联网骨干企业披露基础协议漏洞100余个，获得20余份原创漏洞证明，获得Wi-Fi联盟、Linux社区、FreeBSD社区、OpenWrt社区、高通、谷歌、华硕、华为、中国电信、中国联通、中国移动、阿里巴巴、360、小米、锐捷、新华三、腾达等30余个国际知名组织及厂商的确认和致谢