基於TCP反射DDoS攻擊分析
0x00 引言
近期,騰訊雲防護了一次針對雲上某遊戲業務的混合DDoS攻擊。攻擊持續了31分鐘,流量峰值194Gbps。這個量級的攻擊流量放在當前並沒有太過引人注目的地方,但是騰訊雲遊戲安全專家團在詳細覆盤攻擊手法時發現,混合攻擊流量中竟混雜著利用TCP協議發起的反射攻擊,現網極其少見。
眾所周知,現網黑客熱衷的反射攻擊,無論是傳統的NTP、DNS、SSDP反射,近期大火的Memcached反射,還是近期出現的IPMI反射,無一例外的都是基於UDP協議。而本次攻擊則是另闢蹊徑地利用TCP協議發起反射攻擊。本文將對這種攻擊手法做簡單分析和解讀,併為廣大網際網路及遊戲行業朋友分享防護建議。
0x01 攻擊手法分析
本輪攻擊混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常見的DDoS攻擊,攻擊流量峰值達到194Gbps。但是其中混雜著1.98Gbps/194wpps的syn/ack(syn、ack標誌位同時置位,下同)小包引起研究人員的注意。
首先,syn/ack源埠集聚在80、8080、23、22、443等常用的TCP埠,目的埠則是被攻擊的業務埠80(而正常情況下客戶端訪問業務時,源埠會使用1024以上的隨機埠)。
除此之外,研究人員還發現這些源IP的syn/ack報文存在TCP協議棧超時重傳行為。為此研究人員判斷這次很有可能是利用TCP協議發起的TCP反射攻擊,並非一般隨機偽造源TCP DDoS。
經統計分析:攻擊過程中共採集到912726個攻擊源,通過掃描確認開啟TCP埠:21/22/23/80/443/8080/3389/81/1900的源佔比超過95%,很明顯這個就是利用現網TCP協議發起的反射攻擊。攻擊源IP埠存活情況如下
埠 | 數量 | 佔比(%) |
|---|---|---|
1900 | 11951 | 1.3 |
8080 | 99206 | 10.9 |
21 | 95703 | 10.5 |
23 | 209240 | 22.9 |
3389 | 105002 | 11.5 |
443 | 294983 | 32.3 |
80 | 375888 | 41.2 |
81 | 55072 | 6.0 |
22 | 172026 | 18.8 |
從源IP歸屬地上分析,攻擊來源幾乎全部來源中國,國內源IP佔比超過99.9%,攻擊源國家分佈如下:
從國內省份維度統計,源IP幾乎遍佈國內所有省市,其中TOP 3來源省份分佈是廣東(16.9%)、江蘇(12.5%)、上海(8.8%)。
在攻擊源屬性方面,IDC伺服器佔比58%, 而IoT裝置和PC分別佔比36%、6%。由此可見:攻擊來源主要是IDC伺服器。
0x02 TCP反射攻擊
與UDP反射攻擊思路類似,攻擊者發起TCP反射攻擊的大致過程如下:
1、 攻擊者通過IP地址欺騙方式,偽造目標伺服器IP向公網上的TCP伺服器發起連線請求(即syn包);
2、 TCP伺服器接收到請求後,向目標伺服器返回syn/ack應答報文,就這樣目標伺服器接收到大量不屬於自己連線程式的syn/ack報文,最終造成頻寬、CPU等資源耗盡,拒絕服務。
可能有人會疑惑:反射造成的syn/ack報文長度比原始的syn報文更小,根本沒有任何的放大效果,那為何黑客要採用這種攻擊手法呢?其實這種攻擊手法的厲害之處,不在於流量是否被放大,而是以下三點:
1、 利用TCP反射,攻擊者可以使攻擊流量變成真實IP攻擊,傳統的反向挑戰防護技術難以有效防護;
2、 反射的syn/ack報文存在協議棧行為,使防護系統更難識別防護,攻擊流量透傳機率更高;
3、 利用公網的伺服器發起攻擊,更貼近業務流量,與其他TCP攻擊混合後,攻擊行為更為隱蔽。
為此,TCP反射攻擊相比傳統偽造源的TCP攻擊手法,具有隱蔽性更強、攻擊手法更難防禦的特點。
0x03 防護建議
縱使這種TCP反射攻擊手法小隱隱於野,要防範起來比一般的攻擊手法困難一些,但成功應對並非難事。
1、根據實際情況,封禁不必要的TCP源埠,建議接入騰訊雲新一代高防解決方案,可提供靈活的高階安全策略;
2、建議配置BGP高防IP+三網高防IP,隱藏源站IP,接入騰訊雲新一代解決方案BGP高防;
3、在面對高等級DDoS威脅時,接入雲端計算廠商的行業解決方案,必要時請求DDoS防護廠商的專家服務。
0x04 總結
騰訊雲遊戲安全團隊在防護住一輪針對雲上游戲業務的DDoS攻擊後,對攻擊手法做詳細分析過程中發現黑客使用了現網極為少見的TCP反射攻擊,該手法存在特性包括:
Ø 攻擊報文syn/ack置位;
Ø 源埠集聚在80/443/22/21/3389等常用的TCP服務埠,而且埠的源IP+埠真實存活;
Ø syn/ack報文tcp協議棧行為超時重傳行為;
Ø 源IP絕大部分來源國內,且分散在全國各個省份;
Ø 流量大部分來源於IDC伺服器;
Ø 由於攻擊源真實,且存在TCP協議棧行為,防護難度更大。
綜上所述:黑客利用網際網路上的TCP伺服器發起TCP反射攻擊,相比常見的隨機偽造源攻擊,TCP反射攻擊有著更為隱蔽,防護難度更大等特點,對DDoS安全防護將是一個新的挑戰。
公眾號推薦:
相關文章
- NTP反射型DDos攻擊FAQ/補遺反射
- ZoomEye專題報告 | DDoS 反射放大攻擊全球探測分析OOM反射
- 反射型 DDoS 攻擊的原理和防範措施反射
- 《2021 DDoS攻擊態勢報告》解讀 | 基於威脅情報的DDoS攻擊防護
- 淺談基於 NTP 的反射和放大攻擊反射
- DDos攻擊
- 基於Kali的一次DDos攻擊實踐
- 什麼是DDoS攻擊?如何防範DDoS攻擊?
- 基於snmp的反射攻擊的理論及其實現反射
- 《2021 DDoS攻擊態勢報告》解讀 | 基於威脅情報的DDoS攻擊防護[綠盟諮詢]
- Memcached DDoS 反射攻擊創下 1.7Tbps 流量峰值紀錄反射
- DDoS攻擊的危害是什麼?如何防禦DDoS攻擊?
- 知道DDoS攻擊嗎?
- 瞭解DDoS攻擊
- Nginx防止DDOS攻擊Nginx
- 遊戲伺服器防ddos攻擊,三招搞定ddos攻擊遊戲伺服器
- DDoS攻擊、CC攻擊的攻擊方式和防禦方法
- 綠盟科技劉文懋RSAC主題演講:物聯網中基於UDP的DDoS新型反射攻擊研究UDP反射
- FastJson引入存在DDos攻擊安全漏洞案例分析ASTJSON
- DDoS攻擊頻發,科普防禦DDoS攻擊的幾大有效方法
- 什麼是DDoS攻擊?DDOS攻擊的表現形式是什麼?
- 什麼是DDoS攻擊?哪些行業最需要預防DDoS攻擊?行業
- 如何有效防禦DDoS攻擊和CC攻擊?
- 什麼是DDOS攻擊?
- DDoS攻擊有哪些危害
- 放大倍數超5萬倍的Memcached DDoS反射攻擊,怎麼破?反射
- 如何防範DDoS攻擊,使自己的網站減緩DDoS攻擊呢?網站
- 在Linux中,什麼是DDoS攻擊?如何在Linux中防禦DDoS攻擊?Linux
- 【漏洞分析】Reflection Token 反射型代幣攻擊事件通用分析思路反射事件
- 預防ddos攻擊檢測
- DDOS 攻擊的防範教程
- DHDiscover反射攻擊:可將攻擊放大近200倍反射
- tcp的半連線攻擊和全連線攻擊--TCP DEFER ACCEPTTCP
- DDoS攻擊是什麼?其攻擊現象有哪些?
- DDoS攻擊是什麼?是如何進行攻擊的?
- DDoS攻擊與CC攻擊的區別是什麼?
- TFTP反射放大攻擊淺析FTP反射
- CDN到底能不能防止DDoS攻擊呢?高防CDN是如何防ddos攻擊呢?