小隐隐于野:基于TCP反射DDoS攻击分析

众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。而本次攻击则是另辟蹊径地利用TCP协议发起反射攻击。本文将对这种攻击手法做简单分析和解读,并为广大互联网及游戏行业朋友分享防护建议。

0x01 攻击手法分析

本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDoS攻击,攻击流量峰值达到194Gbps。但是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack标志位同时置位,下同)小包引起研究人员的注意。

首先,syn/ack源端口集聚在80、8080、23、22、443等常用的TCP端口,目的端口则是被攻击的业务端口80(而正常情况下客户端访问业务时,源端口会使用1024以上的随机端口)。

除此之外,研究人员还发现这些源IP的syn/ack报文存在TCP协议栈超时重传行为。为此研究人员判断这次很有可能是利用TCP协议发起的TCP反射攻击,并非一般随机伪造源TCP DDoS。

经统计分析:攻击过程中共采集到912726个攻击源,通过扫描确认开启TCP端口:21/22/23/80/443/8080/3389/81/1900的源占比超过95%,很明显这个就是利用现网TCP协议发起的反射攻击。攻击源IP端口存活情况如下

端口

数量

占比(%)

1900

11951

1.3

8080

99206

10.9

21

95703

10.5

23

209240

22.9

3389

105002

11.5

443

294983

32.3

80

375888

41.2

81

55072

6.0

22

172026

18.8

从源IP归属地上分析,攻击来源几乎全部来源中国,国内源IP占比超过99.9%,攻击源国家分布如下:

备注:由于存在单个IP可能存活多个端口,所以占比总和会超过100%。

从国内省份维度统计,源IP几乎遍布国内所有省市,其中TOP 3来源省份分布是广东(16.9%)、江苏(12.5%)、上海(8.8%)。

在攻击源属性方面,IDC服务器占比58%, 而IoT设备和PC分别占比36%、6%。由此可见:攻击来源主要是IDC服务器。

0x02 TCP反射攻击

与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下:

1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包);

2、 TCP服务器接收到请求后,向目标服务器返回syn/ack应答报文,就这样目标服务器接收到大量不属于自己连接进程的syn/ack报文,最终造成带宽、CPU等资源耗尽,拒绝服务。

可能有人会疑惑:反射造成的syn/ack报文长度比原始的syn报文更小,根本没有任何的放大效果,那为何黑客要采用这种攻击手法呢?其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点:

1、 利用TCP反射,攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护;

2、 反射的syn/ack报文存在协议栈行为,使防护系统更难识别防护,攻击流量透传几率更高;

3、 利用公网的服务器发起攻击,更贴近业务流量,与其他TCP攻击混合后,攻击行为更为隐蔽。

为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。

0x03 防护建议

纵使这种TCP反射攻击手法小隐隐于野,要防范起来比一般的攻击手法困难一些,但成功应对并非难事。

1、根据实际情况,封禁不必要的TCP源端口,建议接入腾讯云新一代高防解决方案,可提供灵活的高级安全策略;

2、建议配置BGP高防IP+三网高防IP,隐藏源站IP,接入腾讯云新一代解决方案BGP高防;

3、在面对高等级DDoS威胁时,接入云计算厂商的行业解决方案,必要时请求DDoS防护厂商的专家服务。

0x04 总结

腾讯云游戏安全团队在防护住一轮针对云上游戏业务的DDoS攻击后,对攻击手法做详细分析过程中发现黑客使用了现网极为少见的TCP反射攻击,该手法存在特性包括:

Ø 攻击报文syn/ack置位;

Ø 源端口集聚在80/443/22/21/3389等常用的TCP服务端口,而且端口的源IP+端口真实存活;

Ø syn/ack报文tcp协议栈行为超时重传行为;

Ø 源IP绝大部分来源国内,且分散在全国各个省份;

Ø 流量大部分来源于IDC服务器;

Ø 由于攻击源真实,且存在TCP协议栈行为,防护难度更大。

综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

Cryptolocker劫持软件肆虐,感染25万PC

据报道,Cryptolocker劫持软件已经感染约25万台PC。Cryptolocker这款劫持软件恶意加密用户数据,然后索要一定的费用,否则...

30140
来自专栏区块链

安全告警:挖矿病毒通过各大搜索引擎传播

【IT168 资讯】如果有一天你的电脑沦为不法分子的工具你会作何感想?对于他们来讲你的电脑只是替他们“工作“的”肉鸡“。事实上,这种事确实是一直存在着的。近期,...

29260
来自专栏*坤的Blog

史融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了红芯浏览器转存在蓝奏云盘的下...

13220
来自专栏阮一峰的网络日志

美国人怎么拔网线----DMCA入门

1. 上周,有一条微软公司的新闻。 知名黑客网站Cryptome.org,公布了一份微软公司的内部文件。此举惹怒了微软,在施压删除此文件未果后,微软已经与网络...

35150
来自专栏IT平头哥联盟

前端优化汇总,到底该不该做?

大家好,这里是@IT·平头哥联盟,我是首席填坑官——苏南(South·Su),今天是国庆节的第二天,这个假期没有外出(不要问我为什么,自己脑补~?),前些天分享...

16660
来自专栏林德熙的博客

win10 uwp 隐私声明

垃圾微软要求几乎每个应用都要有隐私声明,当然如果你不拿用户信息的话,那么用户声明是一个URL,我们应该把应用声明放在哪?

12010
来自专栏*坤的Blog

融资2.5亿的“自主国产”红芯浏览器,其实是个套壳Chrome

今天早上看到朋友发的浏览器图片,感觉很好奇,然后就看了下,感觉文章还不错,就转发了下,然后下载浏览器着实花了不小心思,最后文末添加了转存在蓝奏云盘的连接了.

20630
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-1业务概览

用途 该业务情景主要描述的是在应收账款模块中对销售业务进行会计记账。 优点 应收帐款模块与销售管理完全集成 应收帐款模块中的所有明细账数据会直接更新总账...

38840
来自专栏网络安全防护

多家P2P网贷平台因DDOS攻击而倒闭,P2P平台该怎么应对?

最近这几年,国内P2P网贷平台大规模进入市场,在高速发展的同时,倒闭跑路、投资者信息安全等一系列问题层出不穷。一大波黑客也盯上了P2P平台这一块“肥肉”,黑客通...

25700
来自专栏安恒信息

纽约时报称其网站故障与黑客无关

纽约时报的网站在本周三早晨至少有一个小时不能正常显示,但是该报称此事件与外界担心的恶意攻击无关。 纽约时报的网站在美国东部时间11点半第一...

26760

扫码关注云+社区

领取腾讯云代金券