AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

值得收藏好文,基于 TCP 反射 DDoS 攻击分析

  • 2019-10-28
  • 本文字数:2066 字

    阅读完需:约 7 分钟

值得收藏好文,基于TCP反射DDoS攻击分析

近期,腾讯云防护了一次针对云上某游戏业务的混合 DDoS 攻击。攻击持续了 31 分钟,流量峰值 194Gbps。这个量级的攻击流量放在当前并没有太过引人注目的地方,但是腾讯云游戏安全专家团在详细复盘攻击手法时发现,混合攻击流量中竟混杂着利用 TCP 协议发起的反射攻击,现网极其少见。


众所周知,现网黑客热衷的反射攻击,无论是传统的 NTP、DNS、SSDP 反射,近期大火的 Memcached 反射,还是近期出现的 IPMI 反射,无一例外的都是基于 UDP 协议。而本次攻击则是另辟蹊径地利用 TCP 协议发起反射攻击。本文将对这种攻击手法做简单分析和解读,并为广大互联网及游戏行业朋友分享防护建议。

攻击手法分析

本轮攻击混合了 SYNFLOOD、RSTFLOOD、ICMPFLOOD 等常见的 DDoS 攻击,攻击流量峰值达到 194Gbps。但是其中混杂着 1.98Gbps/194wpps 的 syn/ack(syn、ack 标志位同时置位,下同)小包引起研究人员的注意。



首先,syn/ack 源端口集聚在 80、8080、23、22、443 等常用的 TCP 端口,目的端口则是被攻击的业务端口 80(而正常情况下客户端访问业务时,源端口会使用 1024 以上的随机端口)。


除此之外,研究人员还发现这些源 IP 的 syn/ack 报文存在 TCP 协议栈超时重传行为。为此研究人员判断这次很有可能是利用 TCP 协议发起的 TCP 反射攻击,并非一般随机伪造源 TCP DDoS。


经统计分析:攻击过程中共采集到 912726 个攻击源,通过扫描确认开启 TCP 端口:21/22/23/80/443/8080/3389/81/1900 的源占比超过 95%,很明显这个就是利用现网 TCP 协议发起的反射攻击。攻击源 IP 端口存活情况如下



备注:由于存在单个 IP 可能存活多个端口,所以占比总和会超过 100%。


从源 IP 归属地上分析,攻击来源几乎全部来源中国,国内源 IP 占比超过 99.9%,攻击源国家分布如下:



从国内省份维度统计,源 IP 几乎遍布国内所有省市,其中 TOP 3 来源省份分布是广东(16.9%)、江苏(12.5%)、上海(8.8%)。




在攻击源属性方面,IDC 服务器占比 58%, 而 IoT 设备和 PC 分别占比 36%、6%。由此可见:攻击来源主要是 IDC 服务器。


TCP 反射攻击

与 UDP 反射攻击思路类似,攻击者发起 TCP 反射攻击的大致过程如下:


1、 攻击者通过 IP 地址欺骗方式,伪造目标服务器 IP 向公网上的 TCP 服务器发起连接请求(即 syn 包);


2、 TCP 服务器接收到请求后,向目标服务器返回 syn/ack 应答报文,就这样目标服务器接收到大量不属于自己连接进程的 syn/ack 报文,最终造成带宽、CPU 等资源耗尽,拒绝服务。



可能有人会疑惑:反射造成的 syn/ack 报文长度比原始的 syn 报文更小,根本没有任何的放大效果,那为何黑客要采用这种攻击手法呢?其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点:


1、 利用 TCP 反射,攻击者可以使攻击流量变成真实 IP 攻击,传统的反向挑战防护技术难以有效防护;

2、 反射的 syn/ack 报文存在协议栈行为,使防护系统更难识别防护,攻击流量透传几率更高;

3、 利用公网的服务器发起攻击,更贴近业务流量,与其他 TCP 攻击混合后,攻击行为更为隐蔽。

为此,TCP 反射攻击相比传统伪造源的 TCP 攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。

防护建议

纵使这种 TCP 反射攻击手法小隐隐于野,要防范起来比一般的攻击手法困难一些,但成功应对并非难事。


1、根据实际情况,封禁不必要的 TCP 源端口,建议接入腾讯云新一代高防解决方案,可提供灵活的高级安全策略;


2、建议配置 BGP 高防 IP+三网高防 IP,隐藏源站 IP,接入腾讯云新一代解决方案 BGP 高防;


3、在面对高等级 DDoS 威胁时,接入云计算厂商的行业解决方案,必要时请求 DDoS 防护厂商的专家服务。

总结

腾讯云游戏安全团队在防护住一轮针对云上游戏业务的 DDoS 攻击后,对攻击手法做详细分析过程中发现黑客使用了现网极为少见的 TCP 反射攻击,该手法存在特性包括:


  • 攻击报文 syn/ack 置位;

  • 源端口集聚在 80/443/22/21/3389 等常用的 TCP 服务端口,而且端口的源 IP+端口真实存活;


  • syn/ack 报文 tcp 协议栈行为超时重传行为;

  • 源 IP 绝大部分来源国内,且分散在全国各个省份;

  • 流量大部分来源于 IDC 服务器;

  • 由于攻击源真实,且存在 TCP 协议栈行为,防护难度更大。


综上所述:黑客利用互联网上的 TCP 服务器发起 TCP 反射攻击,相比常见的随机伪造源攻击,TCP 反射攻击有着更为隐蔽,防护难度更大等特点,对 DDoS 安全防护将是一个新的挑战。


腾讯云新一代高防解决方案核心底层来自于腾讯安全平台部,沉淀腾讯业务十余年 DDoS 攻防对抗经验,具有业内先进的 DDoS 检测/防护算法,同时引入了 AI、大数据领先的防护方案,服务于 QQ、微信、王者荣耀、英雄联盟、CF、绝地求生等多款腾讯内部业务,能够有效抵御各类型 DDoS 和 CC 攻击行为,提供先进可靠的 DDoS 防护服务,致力于保障游戏客户业务的安全、稳定。


腾讯安全应急响应中心也将携该防护系统亮相 5 月 23-24 日的腾讯云 2018 云+未来峰会展区和游戏分论坛,届时欢迎各位游戏行业和安全界人士一起莅临峰会,共话 DDoS 攻防。


本文转载自公众号云加社区(ID:QcloudCommunity)。


原文链接:


https://mp.weixin.qq.com/s/gJPBYIGGB3eTBktGQ5H0aA


2019-10-28 14:311828

评论

发布
暂无评论
发现更多内容

嘉为蓝鲸IT服务管理解决方案入选2022广东省政务服务创新解决方案

嘉为蓝鲸

自动化运维 嘉为蓝鲸 IT服务管理中心

软件测试/测试开发 | 接口自动化测试中,文件上传该如何测试?

测试人

软件测试 自动化测试 接口测试 测试开发 文件上传

栉风沐雨 韧性前行 | 2022年九科大事件

九科Ninetech

RPA 超自动化 流程挖掘

华为云发布冷启动加速解决方案:助力Serverless计算速度提升90%+

华为云开发者联盟

Serverless 华为云 冷启动 Cold Start 进程级快照

安全事件溯源分析场景

智维数据

大数据 数据可视化 智能运维 应用交付 流量分析系统

流程的价值一,固化业务的最佳实践!

CTO技术共享

30+亮眼指标,看看2022年嘉为蓝鲸的逆势创新之路!

嘉为蓝鲸

自动化运维 嘉为蓝鲸 2022大事件

通用池化框架commons-pool2功能拓展

FunTester

DAPP/去中心化系统开发流程解析方案(成熟理念)分析结果

I8O28578624

深入理解跨域和最佳实践分享

Crazy Urus

面试 前端 HTTP 跨域

人人都在聊的云原生数据库Serverless到底是什么?

华为云开发者联盟

数据库 Serverless 云原生 华为云 GaussDB

启科 QuTrunk+Runtime+QuSaaS+亚马逊云科技量子计算编程实战

亚马逊云科技 (Amazon Web Services)

Python 量子计算 Amazon EC2 Hero 专栏 Amazon Braket

谈谈enabled_shared_from_this

SkyFire

c++ 智能指针

CleanMyMac4.12.3中文版如何汉化免费?

茶色酒

CleanMyMac4.12.3

设计模式之装饰者模式

程序员大彬

Java 设计模式

Databend 内幕大揭秘第二弹 - Data Source

Databend

中国国际电子商务中心与易观分析联合发布:2022年3季度全国网络零售发展指数同比增长1.5%

易观分析

零售 电商

如何让Java编译器帮你写代码

京东科技开发者

后端 编译器 java; 编译器原理 企业号 1 月 PK 榜

Studio One6永久免费版本下载安装包

茶色酒

Studio One6

架构训练营第10期模块5作业

Geek_4db2d5

Golang如何优雅接入多个远程配置中心?

王中阳Go

golang 高效工作 学习方法 后端 viper

“零信任”下的防火墙策略管理

智维数据

大数据 防火墙 数据可视化 智能运维 运维安全

树与二叉树深度剖析(二)

C++后台开发

数据结构 算法 二叉树 红黑树 Linux服务器开发

深度学习快速上手——基于 MegEngine 的 LeNet 快速训练与部署

MegEngineBot

深度学习 开源 MegEngine

性能优化 - 访问局部性

王玉川

c++ 性能 cpu 访问局部性

在Spring异步线程池中自动传递上下文,这样写轻松又方便

程序员拾山

Spring Boot #java

MySQL:如何给字符串加一个高效索引?

程序员拾山

MySQL

Lattice - 模式级复用的能力定义

原力在线

架构 lattice 高可扩展

nCompass为医疗行业信息安全穿上“铠甲”

智维数据

大数据 数据可视化 智能运维 应用交付 流量分析系统

从人工分析到智能分析,流量分析如何快速上手?

智维数据

智能运维 应用交付 可视化数据 流量分析系统

值得收藏好文,基于TCP反射DDoS攻击分析_文化 & 方法_陈国_InfoQ精选文章