写点什么

值得收藏好文,基于 TCP 反射 DDoS 攻击分析

  • 2019-10-28
  • 本文字数:2066 字

    阅读完需:约 7 分钟

值得收藏好文,基于TCP反射DDoS攻击分析

近期,腾讯云防护了一次针对云上某游戏业务的混合 DDoS 攻击。攻击持续了 31 分钟,流量峰值 194Gbps。这个量级的攻击流量放在当前并没有太过引人注目的地方,但是腾讯云游戏安全专家团在详细复盘攻击手法时发现,混合攻击流量中竟混杂着利用 TCP 协议发起的反射攻击,现网极其少见。


众所周知,现网黑客热衷的反射攻击,无论是传统的 NTP、DNS、SSDP 反射,近期大火的 Memcached 反射,还是近期出现的 IPMI 反射,无一例外的都是基于 UDP 协议。而本次攻击则是另辟蹊径地利用 TCP 协议发起反射攻击。本文将对这种攻击手法做简单分析和解读,并为广大互联网及游戏行业朋友分享防护建议。

攻击手法分析

本轮攻击混合了 SYNFLOOD、RSTFLOOD、ICMPFLOOD 等常见的 DDoS 攻击,攻击流量峰值达到 194Gbps。但是其中混杂着 1.98Gbps/194wpps 的 syn/ack(syn、ack 标志位同时置位,下同)小包引起研究人员的注意。



首先,syn/ack 源端口集聚在 80、8080、23、22、443 等常用的 TCP 端口,目的端口则是被攻击的业务端口 80(而正常情况下客户端访问业务时,源端口会使用 1024 以上的随机端口)。


除此之外,研究人员还发现这些源 IP 的 syn/ack 报文存在 TCP 协议栈超时重传行为。为此研究人员判断这次很有可能是利用 TCP 协议发起的 TCP 反射攻击,并非一般随机伪造源 TCP DDoS。


经统计分析:攻击过程中共采集到 912726 个攻击源,通过扫描确认开启 TCP 端口:21/22/23/80/443/8080/3389/81/1900 的源占比超过 95%,很明显这个就是利用现网 TCP 协议发起的反射攻击。攻击源 IP 端口存活情况如下



备注:由于存在单个 IP 可能存活多个端口,所以占比总和会超过 100%。


从源 IP 归属地上分析,攻击来源几乎全部来源中国,国内源 IP 占比超过 99.9%,攻击源国家分布如下:



从国内省份维度统计,源 IP 几乎遍布国内所有省市,其中 TOP 3 来源省份分布是广东(16.9%)、江苏(12.5%)、上海(8.8%)。




在攻击源属性方面,IDC 服务器占比 58%, 而 IoT 设备和 PC 分别占比 36%、6%。由此可见:攻击来源主要是 IDC 服务器。


TCP 反射攻击

与 UDP 反射攻击思路类似,攻击者发起 TCP 反射攻击的大致过程如下:


1、 攻击者通过 IP 地址欺骗方式,伪造目标服务器 IP 向公网上的 TCP 服务器发起连接请求(即 syn 包);


2、 TCP 服务器接收到请求后,向目标服务器返回 syn/ack 应答报文,就这样目标服务器接收到大量不属于自己连接进程的 syn/ack 报文,最终造成带宽、CPU 等资源耗尽,拒绝服务。



可能有人会疑惑:反射造成的 syn/ack 报文长度比原始的 syn 报文更小,根本没有任何的放大效果,那为何黑客要采用这种攻击手法呢?其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点:


1、 利用 TCP 反射,攻击者可以使攻击流量变成真实 IP 攻击,传统的反向挑战防护技术难以有效防护;

2、 反射的 syn/ack 报文存在协议栈行为,使防护系统更难识别防护,攻击流量透传几率更高;

3、 利用公网的服务器发起攻击,更贴近业务流量,与其他 TCP 攻击混合后,攻击行为更为隐蔽。

为此,TCP 反射攻击相比传统伪造源的 TCP 攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。

防护建议

纵使这种 TCP 反射攻击手法小隐隐于野,要防范起来比一般的攻击手法困难一些,但成功应对并非难事。


1、根据实际情况,封禁不必要的 TCP 源端口,建议接入腾讯云新一代高防解决方案,可提供灵活的高级安全策略;


2、建议配置 BGP 高防 IP+三网高防 IP,隐藏源站 IP,接入腾讯云新一代解决方案 BGP 高防;


3、在面对高等级 DDoS 威胁时,接入云计算厂商的行业解决方案,必要时请求 DDoS 防护厂商的专家服务。

总结

腾讯云游戏安全团队在防护住一轮针对云上游戏业务的 DDoS 攻击后,对攻击手法做详细分析过程中发现黑客使用了现网极为少见的 TCP 反射攻击,该手法存在特性包括:


  • 攻击报文 syn/ack 置位;

  • 源端口集聚在 80/443/22/21/3389 等常用的 TCP 服务端口,而且端口的源 IP+端口真实存活;


  • syn/ack 报文 tcp 协议栈行为超时重传行为;

  • 源 IP 绝大部分来源国内,且分散在全国各个省份;

  • 流量大部分来源于 IDC 服务器;

  • 由于攻击源真实,且存在 TCP 协议栈行为,防护难度更大。


综上所述:黑客利用互联网上的 TCP 服务器发起 TCP 反射攻击,相比常见的随机伪造源攻击,TCP 反射攻击有着更为隐蔽,防护难度更大等特点,对 DDoS 安全防护将是一个新的挑战。


腾讯云新一代高防解决方案核心底层来自于腾讯安全平台部,沉淀腾讯业务十余年 DDoS 攻防对抗经验,具有业内先进的 DDoS 检测/防护算法,同时引入了 AI、大数据领先的防护方案,服务于 QQ、微信、王者荣耀、英雄联盟、CF、绝地求生等多款腾讯内部业务,能够有效抵御各类型 DDoS 和 CC 攻击行为,提供先进可靠的 DDoS 防护服务,致力于保障游戏客户业务的安全、稳定。


腾讯安全应急响应中心也将携该防护系统亮相 5 月 23-24 日的腾讯云 2018 云+未来峰会展区和游戏分论坛,届时欢迎各位游戏行业和安全界人士一起莅临峰会,共话 DDoS 攻防。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/gJPBYIGGB3eTBktGQ5H0aA


2019-10-28 14:311935

评论

发布
暂无评论
发现更多内容

数据驱动运维:如何通过可观测性实现AIOps的突破

雅菲奥朗

运维 可观测性 AIOPS Observability 人工智能运维

Axure RP教程(Axure RP中文授权码),如何查看和共享您的原型?

Rose

macOS Sequoia 15(Macos15系统)v15.0 Beta 3测试版本

Rose

过等保时候常提到的堡垒机是什么?有什么用?

行云管家

等保 堡垒机 等级保护 过等保

AIOps:解决企业IT挑战的智能利器

雅菲奥朗

运维 可观测性 AIOPS SRE

FinClip 强势登陆 AWS Marketplace,全球扩展战略迈出关键一步

FinClip

基于YMP工具实现Oracle迁移YashanDB

YashanDB

yashandb 崖山数据库 崖山DB

2024 TDengine 用户大会:顶尖专家带你决胜 AI 新时代

TDengine

参加DevSecOps认证培训 ,掌握安全高效的软件开发

雅菲奥朗

运维 SRE DevSecOps

基于LangChain手工测试用例生成工具

测吧(北京)科技有限公司

测试

tidb源码研究分析日常碰到的bug

TiDB 社区干货传送门

TiDB 源码解读 6.x 实践 TiKV 源码解读

utf8mb4 默认排序规则引起的索引失效

TiDB 社区干货传送门

应用适配 数据库连接

跨平台的SSH、Telnet和SFTP客户端 Termius for Mac v8.4.0激活版

Rose

降成本,提人效:火山引擎VeDI实验平台架构升级

字节跳动数据平台

大数据 A/B 测试 数字化增长

AI心灵伙伴:数业智能心大陆如何提升年轻成人的心理健康?

心大陆多智能体

压力 智能体 AI大模型 心理健康 数字心理

深入了解 DN-404:引领 NFT 市场的创新标准

NFT Research

NFT\ web3、 ERC404

解决 SecureCRT中文乱码方法(附SecureCRT mac永久注册码)

Rose

Pgsql 全量+增量迁移 tidb7.5

TiDB 社区干货传送门

7.x 实践

星辰考古:TiDB v4.0 进化前夜

TiDB 社区干货传送门

版本升级 版本测评 新版本/特性解读

TiDB实践—索引加速+分布式执行框架创建索引提升70+倍

TiDB 社区干货传送门

7.x 实践

江苏企业采购堡垒机推荐哪家?为什么?

行云管家

堡垒机 过等保 江苏

Parallels Desktop 19 for Mac(PD19虚拟机)无需关闭sipv19.1.0一键激活版

Rose

GPT被封锁了怎么办?轻松获取高质量的数据,训练自己的人工智能和大语言模型。

热爱编程的小白白

玳数科技集成 Flink CDC 3.0 的实践

Apache Flink

大数据 flink Flink CDC chunjun

API Token 是什么?深入介绍与实践指南

Apifox

程序员 安全 Token API

tidb7.5.1压测

TiDB 社区干货传送门

性能测评 7.x 实践

FlagEval 7月榜丨新增29个模型评测结果,智源发布评估技术报告《AI大模型能力全景扫描》

智源研究院

【永久密钥】VMware Fusion Pro 13 for Mac(VM虚拟机)v13.5.0激活版

Rose

Cornerstone意外退出的解决方法 Cornerstone 4.2永久激活版 Mac SVN工具

Rose

值得收藏好文,基于TCP反射DDoS攻击分析_文化 & 方法_陈国_InfoQ精选文章