专栏首页腾讯安全应急响应中心隐秘的角落--基于某款游戏利用的反射攻击分析
原创

隐秘的角落--基于某款游戏利用的反射攻击分析

|腾讯安全平台部宙斯盾团队 指玄

背景

从十月份开始,宙斯盾团队防护下的某款游戏业务持续遭受攻击,在对抗过程中,坏人不断变换攻击手法,包括且不限于四层连接攻击、七层CC攻击、TCP反射攻击、常规UDP反射和漏洞利用型DoS攻击。如此持以之恒的尝试背后,是巨大获利的驱动力存在。为了更加主动的感知到外部攻击手法的持续变化,团队针对此业务的网络流量进行了进一步的安全分析。

在近日,通过此流量安全分析机制,我们及时感知到了一个新手法的出现:基于某游戏的反射攻击。其主要利用早期游戏(Wolfenstein Enemy Territory、Cod4、Quake 3等)的联机网络对战功能发起,攻击流量规模并不大,较为隐秘。于此,我们将相关情况整理同步、分享与业界同行。

0x01 异常流量分析

1. 样本分析:

通过流量抓取分析,本次反射攻击源端口不固定,部分报文命中wireshark的端口规则被标记为quake3协议,包长范围423-1312,如下图所示:

图1

与正常业务流量的私有二进制协议数据相比,攻击数据包的内容字符肉眼可读,其中几个字段能明显看出是游戏服务,如”version ET 2.60b / ET 3.00”,”mod version 0.9.0”,”ganmename”,” g_minGameClients”。

图2

进一步搜索,查到某款经典游戏《Wolfenstein Enemy Territory》,缩写为ET,和抓包里的关键词匹配。根据协议类型quake3,查到游戏《雷神之锤3》。两个游戏同属同一家母公司,猜测这两个游戏使用了相同的底层引擎和协议规范。

同时分析捕获到的攻击源端口情况,发现大部分源ip端口存活开启,小部分源ip端口关闭。查找资料发现这里存在两种对战服被用作攻击源:1)长期租用公网服务器搭建的类似私服的对战局;2)个人临时开启的对战局。

2.攻击复现:

《Wolfenstein Enemy Territory》(本次分析以此游戏为例,其他几个游戏原理类似)为《Return to Castal Wolfenstein》网络对战内容免费资料片,发行于2003年(和cs1.6同年代),支持linux/win/mac三种操作系统。

为了进一步复现分析,我们下载了ET游戏,进入网战平台,并对游戏交互进行了流量分析。

图3

1)查询get new list ,会触发一个UDP请求操作(请求游戏自身服务器返回room列表),如下:

图4

2)查询server info,数据交互过程如下:

图5

Payload详情如图6,通过对比图2,发现报文结构和特征一致(根据不同版本和是否打mod,返回的信息略有不同),所以可以判断本次攻击是利用了《Wolfenstein Enemy Territory》客户端创建的对战房间作为反射源,进行的DDoS反射放大攻击。

图6

交互报文内容细节如下图:

图7

在查询server详情操作过程中,客户端只向对战房主的公网ip发送固定字段”getstatus”,而作为对战房主机器并不做任何校验,直接返回对战房间信息。请求和返回数据大小成倍数关系,此手法正是利用了协议交互的这一特点实现了流量的反射放大。

3. 反射放大倍数分析:

攻击主要利用查询server info操作发起的DDoS反射放大,直接用完整的UDP请求包和响应包相比,放大倍数1312/57≈23倍。

4. 溯源分布情况:

大部分来自欧美(以现网捕获为统计)

图8

0x02 游戏对局类反射趋势

由于近年来公共网络服务建设在安全方面越来越规范,利用公共基础设施发起反射的门槛变高,同时此类公共基础服务发起的反射,网络层特征明显,很容易被过滤。如18年很火的memcached反射近一年内的频率降低了许多。因此黑客也在不断寻找别的替代攻击方式企图绕过现有防御系统,本次利用W.ET游戏的反射攻击就是其中一种探索。

对比业界分析其他几种对局类反射,总结他它们的共同点如下图所示:

图9

防御游戏对局反射放大的难点:

1. 报文特征:源ip不固定,源端口在一定范围内随机,基于网络设备的acl特征拉黑容易误伤;

2. 游戏众多,隐蔽性高:比如业界之前发现的使用A2S_INFO协议(Dota2、反恐精英、求生之路、Aram)以及call of duty2/4版本端游,都可能存在此问题;

3. 混合攻击:单独一个游戏可利用的反射源有限(笔者在凌晨0点搜索发现房间数为40-50个),但是现网已经检测到混合多个游戏发起攻击的情况;

4. 漏洞修复困难:该类型游戏已经发行多年,在当时反射放大攻击并未进入公众视线,所以开发者未考虑被利用发起DDoS的安全问题。且游戏早已过了生命旺盛周期,无人针对漏洞进行修复;

0x03 攻击防护建议

综上,此次的攻击手法仍然是利用UDP无状态协议、服务端返回包远大于请求包的特点。在防范上,我们建议参考下面方式进行安全加固以及防护能力提升,以减少业务侧被攻击风险。

1. 禁用不必要UDP服务和端口,减少威胁暴露面;

2. 利用上游路由器或防火墙四层ACL过滤功能,拦截对应端口的UDP报文;

3. 利用安全设备七层过滤功能,拦截对应攻击特征的UDP报文;

4. 对战反射源基本位于国外,若无海外业务,可选择基于Geo-IP对海外源IP流量进行封禁;

5. 选择接入专业的DDoS安全防护服务(如腾讯云T-Sec DDoS高防服务)

0x04 尾声

兵无常势,水无常形,黑客攻击方式、手法也在随着业务的发展、技术的变革而不断改变,攻防对抗的难度也随之不断升级;唯有一直紧跟技术、业务发展趋势,持续不断进阶,才能在安全攻防对抗中取得先机。故而,安全无小事,一手建立起主动的流量安全分析和感知能力,一手建立起全面的安全防护体系,才有可能防微杜渐、防范于未然。

0x05 宙斯盾团队介绍

安全平台部宙斯盾DDoS防护系统,基于十余年的防护技术积累,提供专业、可靠的攻击防护解决方案。一直服务于QQ、微信、游戏、云等腾讯业务,具备T级流量的DDoS检测和清洗能力,保障业务运营的安全稳定。在服务保障自研业务之余,也进行技术能力输出,目前已经为Garena、知道创宇等合作公司提供防护能力部署支持;也与腾讯云合作输出T-Sec DDoS高防产品,助力产业互联网客户安全能力升级。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 游戏业务DDoS攻防对抗案例分享

    事实证明,每年春节假期,不甘寂寞、蠢蠢欲动的除了熊孩子往往还有以DDoS为主业的黑客,而愉快的春节假期也随之成为DDoS攻击的高峰期。

    腾讯安全应急响应中心
  • 面向DevSecOps的编码安全指南| JavaScript篇

    近年来,无论是DevSecOps,还是Google SRE的可靠和安全性理念,都提倡“安全需要每个工程师的参与”。其中涉及的“安全左移”理念也再次被推向前台,获...

    腾讯安全应急响应中心
  • 企业安全建设 丨 当我们在谈论推特安全事件时,我们在谈论什么?

    16日凌晨,众多推特“大V”突然集体转发诈骗信息 —— “只要给特定账号汇入等值1000美元的比特币,就能获得双倍返还”,受影响账户包括:前总统奥巴马、比尔盖茨...

    腾讯安全应急响应中心
  • 疫情推动“宅经济”,企业防御DDoS更加不能松懈

    一直以来,游戏行业都是DDoS攻击的重灾区,游戏厂商防御DDoS攻击几乎已经成为常态。刚刚过去的2020年,在疫情推动下,全球“宅经济”升温。游戏作为消费者居家...

    blublu7080
  • 安全报告 | 2018年游戏行业安全监测报告及五大攻击趋势

    近日,媒体频频爆出苹果用户帐号被盗刷,用于购买游戏道具等物品,并由此牵出 App Store 及游戏相关黑产的种种。8102年都快过去了,游戏黑客在攻击什么?他...

    云鼎实验室
  • 预告 | 黑镜调查:深渊背后的真相之「DDoS威胁与黑灰产业调查」报告

    DDoS攻击经过近二十年的演变沿用至今,以其成本较低、效果显著、影响深远为攻击者所青睐。据统计,2018年最流行的DDoS攻击方式包括异军突起的反射放大攻击、S...

    FB客服
  • mac:在当前文件夹打开terminal终端

    System Preferences -> Keyboard -> Shortcuts -> Services -> New Terminal at Folde...

    菩提树下的杨过
  • 4.16 VR扫描:Facebook、Snap积极推动VR/AR广告创新;SteamVR更新HTC Vive固件

    VRPinea
  • 火爆美国却突遇警告:“变脸应用FaceApp是俄国人搞的,大家别用了”

    苹果用户也同样热情,App Annie数据显示,它目前在121个国家的iOS商店排名第一。

    量子位
  • java项目部署到linux服务器,微信小程序后台部署到腾讯云服务器(图文详解)

    点餐系统的开发,java后台+微信小程序:https://blog.csdn.net/qiushi_1990/article/details/97749686

    编程小石头

扫码关注云+社区

领取腾讯云代金券