標籤:

小隱隱於野:基於TCP反射DDoS攻擊分析

小隱隱於野:基於TCP反射DDoS攻擊分析

歡迎大家前往騰訊雲+社區,獲取更多騰訊海量技術實踐乾貨哦~

作者:騰訊DDoS安全專家、騰訊雲遊戲安全專家 陳國

0x00 引言

近期,騰訊雲防護了一次針對雲上某遊戲業務的混合DDoS攻擊。攻擊持續了31分鐘,流量峰值194Gbps。這個量級的攻擊流量放在當前並沒有太過引人注目的地方,但是騰訊雲遊戲安全專家團在詳細復盤攻擊手法時發現,混合攻擊流量中竟混雜著利用TCP協議發起的反射攻擊,現網極其少見。

眾所周知,現網黑客熱衷的反射攻擊,無論是傳統的NTP、DNS、SSDP反射,近期大火的Memcached反射,還是近期出現的IPMI反射,無一例外的都是基於UDP協議。而本次攻擊則是另闢蹊徑地利用TCP協議發起反射攻擊。本文將對這種攻擊手法做簡單分析和解讀,並為廣大互聯網及遊戲行業朋友分享防護建議。

0x01 攻擊手法分析

本輪攻擊混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常見的DDoS攻擊,攻擊流量峰值達到194Gbps。但是其中混雜著1.98Gbps/194wpps的syn/ack(syn、ack標誌位同時置位,下同)小包引起研究人員的注意。

首先,syn/ack源埠集聚在80、8080、23、22、443等常用的TCP埠,目的埠則是被攻擊的業務埠80(而正常情況下客戶端訪問業務時,源埠會使用1024以上的隨機埠)。

除此之外,研究人員還發現這些源IP的syn/ack報文存在TCP協議棧超時重傳行為。為此研究人員判斷這次很有可能是利用TCP協議發起的TCP反射攻擊,並非一般隨機偽造源TCP DDoS。

經統計分析:攻擊過程中共採集到912726個攻擊源,通過掃描確認開啟TCP埠:21/22/23/80/443/8080/3389/81/1900的源佔比超過95%,很明顯這個就是利用現網TCP協議發起的反射攻擊。攻擊源IP埠存活情況如下

備註:由於存在單個IP可能存活多個埠,所以佔比總和會超過100%。

從源IP歸屬地上分析,攻擊來源幾乎全部來源中國,國內源IP佔比超過99.9%,攻擊源國家分布如下:

從國內省份維度統計,源IP幾乎遍布國內所有省市,其中TOP 3來源省份分布是廣東(16.9%)、江蘇(12.5%)、上海(8.8%)。

在攻擊源屬性方面,IDC伺服器佔比58%, 而IoT設備和PC分別佔比36%、6%。由此可見:攻擊來源主要是IDC伺服器。

0x02 TCP反射攻擊

與UDP反射攻擊思路類似,攻擊者發起TCP反射攻擊的大致過程如下:

1、 攻擊者通過IP地址欺騙方式,偽造目標伺服器IP向公網上的TCP伺服器發起連接請求(即syn包);

2、 TCP伺服器接收到請求後,向目標伺服器返回syn/ack應答報文,就這樣目標伺服器接收到大量不屬於自己連接進程的syn/ack報文,最終造成帶寬、CPU等資源耗盡,拒絕服務。

可能有人會疑惑:反射造成的syn/ack報文長度比原始的syn報文更小,根本沒有任何的放大效果,那為何黑客要採用這種攻擊手法呢?其實這種攻擊手法的厲害之處,不在於流量是否被放大,而是以下三點:

1、 利用TCP反射,攻擊者可以使攻擊流量變成真實IP攻擊,傳統的反向挑戰防護技術難以有效防護;

2、 反射的syn/ack報文存在協議棧行為,使防護系統更難識別防護,攻擊流量透傳幾率更高;

3、 利用公網的伺服器發起攻擊,更貼近業務流量,與其他TCP攻擊混合後,攻擊行為更為隱蔽。

為此,TCP反射攻擊相比傳統偽造源的TCP攻擊手法,具有隱蔽性更強、攻擊手法更難防禦的特點。

0x03 防護建議

縱使這種TCP反射攻擊手法小隱隱於野,要防範起來比一般的攻擊手法困難一些,但成功應對並非難事。

1、根據實際情況,封禁不必要的TCP源埠,建議接入騰訊雲新一代高防解決方案,可提供靈活的高級安全策略;

2、建議配置BGP高防IP+三網高防IP,隱藏源站IP,接入騰訊雲新一代解決方案BGP高防;

3、在面對高等級DDoS威脅時,接入雲計算廠商的行業解決方案,必要時請求DDoS防護廠商的專家服務。

0x04 總結

騰訊雲遊戲安全團隊在防護住一輪針對雲上遊戲業務的DDoS攻擊後,對攻擊手法做詳細分析過程中發現黑客使用了現網極為少見的TCP反射攻擊,該手法存在特性包括:

  • 攻擊報文syn/ack置位;
  • 源埠集聚在80/443/22/21/3389等常用的TCP服務埠,而且埠的源IP+埠真實存活;
  • syn/ack報文tcp協議棧行為超時重傳行為;
  • 源IP絕大部分來源國內,且分散在全國各個省份;
  • 流量大部分來源於IDC伺服器;
  • 由於攻擊源真實,且存在TCP協議棧行為,防護難度更大。

綜上所述:黑客利用互聯網上的TCP伺服器發起TCP反射攻擊,相比常見的隨機偽造源攻擊,TCP反射攻擊有著更為隱蔽,防護難度更大等特點,對DDoS安全防護將是一個新的挑戰。

騰訊雲宙斯盾DDoS防護系統核心底層來自於騰訊安全平台部,沉澱騰訊業務十餘年DDoS攻防對抗經驗,具有業內先進的DDoS檢測/防護演算法,同時引入了AI、大數據領先的防護方案,服務於QQ、微信、王者榮耀、英雄聯盟、CF、絕地求生等多款騰訊內部業務,能夠有效抵禦各類型DDoS和CC攻擊行為,提供先進可靠的DDoS防護服務,致力於保障遊戲客戶業務的安全、穩定。

騰訊安全應急響應中心也將攜宙斯盾防護系統亮相5月23-24日的騰訊雲2018雲+未來峰會展區和遊戲分論壇,屆時歡迎各位遊戲行業和安全界人士一起蒞臨峰會,共話DDoS攻防。

2018騰訊云云+未來峰會報名入口:cloud.tencent.com/devel

問答

如何防範DDos攻擊?

相關閱讀

1.23T,騰訊雲成功防禦了國內最大流量DDoS攻擊

初識常見DDoS攻擊手段

深入淺出DDoS攻擊防禦

此文已由作者授權騰訊雲+社區發布,原文鏈接:cloud.tencent.com/devel

weixin.qq.com/r/6TlxaU- (二維碼自動識別)

推薦閱讀:

《2016上半年DDoS攻擊報告》(譯稿/預告)
dnsdun怎麼樣?
現在比較好用的漏洞掃描和注入攻擊的工具?
新勒索軟體 FireCrypt 另類特性可實現 DDoS 攻擊
從11月10日開始截止11月14日,本站遭受多次DDoS攻擊

TAG:DDoS |