实战派带你玩真正的大数据,14周高强度特训!

锋云网

 找回密码
 快速注册

QQ登录

只需一步,快速开始

搜索
查看: 1581|回复: 0

小隐隐于野:基于TCP反射DDoS攻击分析

[复制链接]
发表于 2018-5-14 16:02:50 | 显示全部楼层 |阅读模式
本帖最后由 腾讯云技术社区 于 2018-5-14 16:17 编辑 ( |6 Z% r0 K' v& }" V8 v. d2 D
7 [" c# H7 z3 L* b
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~
' A. E6 {& p0 s* {, X8 F9 B
作者:腾讯DDoS安全专家、腾讯云游戏安全专家 陈国

9 e1 @5 d5 T! @5 b* g0x00 引言
近期,腾讯云防护了一次针对云上某游戏业务的混合DDoS攻击。攻击持续了31分钟,流量峰值194Gbps。这个量级的攻击流量放在当前并没有太过引人注目的地方,但是腾讯云游戏安全专家团在详细复盘攻击手法时发现,混合攻击流量中竟混杂着利用TCP协议发起的反射攻击,现网极其少见。
众所周知,现网黑客热衷的反射攻击,无论是传统的NTP、DNS、SSDP反射,近期大火的Memcached反射,还是近期出现的IPMI反射,无一例外的都是基于UDP协议。而本次攻击则是另辟蹊径地利用TCP协议发起反射攻击。本文将对这种攻击手法做简单分析和解读,并为广大互联网及游戏行业朋友分享防护建议。
0x01 攻击手法分析
本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDoS攻击,攻击流量峰值达到194Gbps。但是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack标志位同时置位,下同)小包引起研究人员的注意。
1 n4 ~) }" A3 M1 e6 @( w* t4 A' G; h
首先,syn/ack源端口集聚在80、8080、23、22、443等常用的TCP端口,目的端口则是被攻击的业务端口80(而正常情况下客户端访问业务时,源端口会使用1024以上的随机端口)。
除此之外,研究人员还发现这些源IP的syn/ack报文存在TCP协议栈超时重传行为。为此研究人员判断这次很有可能是利用TCP协议发起的TCP反射攻击,并非一般随机伪造源TCP DDoS。
经统计分析:攻击过程中共采集到912726个攻击源,通过扫描确认开启TCP端口:21/22/23/80/443/8080/3389/81/1900的源占比超过95%,很明显这个就是利用现网TCP协议发起的反射攻击。攻击源IP端口存活情况如下
备注:由于存在单个IP可能存活多个端口,所以占比总和会超过100%。
从源IP归属地上分析,攻击来源几乎全部来源中国,国内源IP占比超过99.9%,攻击源国家分布如下:

# {/ s# e! W3 R9 e+ K6 L
从国内省份维度统计,源IP几乎遍布国内所有省市,其中TOP 3来源省份分布是广东(16.9%)、江苏(12.5%)、上海(8.8%)。
* e# @# C5 G2 ~+ e: @
* i0 u/ v/ {# }  R/ f2 j( G4 j
在攻击源属性方面,IDC服务器占比58%, 而IoT设备和PC分别占比36%、6%。由此可见:攻击来源主要是IDC服务器。

2 i2 W# |! M: W. }0x02 TCP反射攻击
与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下:
1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包);
2、 TCP服务器接收到请求后,向目标服务器返回syn/ack应答报文,就这样目标服务器接收到大量不属于自己连接进程的syn/ack报文,最终造成带宽、CPU等资源耗尽,拒绝服务。
2 @* C8 s$ }$ [1 p2 W- t2 P6 I( T
可能有人会疑惑:反射造成的syn/ack报文长度比原始的syn报文更小,根本没有任何的放大效果,那为何黑客要采用这种攻击手法呢?其实这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点:
1、 利用TCP反射,攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护;
2、 反射的syn/ack报文存在协议栈行为,使防护系统更难识别防护,攻击流量透传几率更高;
3、 利用公网的服务器发起攻击,更贴近业务流量,与其他TCP攻击混合后,攻击行为更为隐蔽。
为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。
0x03 防护建议
纵使这种TCP反射攻击手法小隐隐于野,要防范起来比一般的攻击手法困难一些,但成功应对并非难事。
1、根据实际情况,封禁不必要的TCP源端口,建议接入腾讯云新一代高防解决方案,可提供灵活的高级安全策略;
2、建议配置BGP高防IP+三网高防IP,隐藏源站IP,接入腾讯云新一代解决方案BGP高防;
3、在面对高等级DDoS威胁时,接入云计算厂商的行业解决方案,必要时请求DDoS防护厂商的专家服务。
0x04 总结
腾讯云游戏安全团队在防护住一轮针对云上游戏业务的DDoS攻击后,对攻击手法做详细分析过程中发现黑客使用了现网极为少见的TCP反射攻击,该手法存在特性包括:
Ø 攻击报文syn/ack置位;
Ø 源端口集聚在80/443/22/21/3389等常用的TCP服务端口,而且端口的源IP+端口真实存活;
Ø syn/ack报文tcp协议栈行为超时重传行为;
Ø 源IP绝大部分来源国内,且分散在全国各个省份;
Ø 流量大部分来源于IDC服务器;
Ø 由于攻击源真实,且存在TCP协议栈行为,防护难度更大。
综上所述:黑客利用互联网上的TCP服务器发起TCP反射攻击,相比常见的随机伪造源攻击,TCP反射攻击有着更为隐蔽,防护难度更大等特点,对DDoS安全防护将是一个新的挑战。
腾讯云宙斯盾DDoS防护系统核心底层来自于腾讯安全平台部,沉淀腾讯业务DDoS攻防对抗经验,具有业内先进的DDoS检测/防护算法,同时引入了AI、大数据领先的防护方案,服务于QQ、微信、王者荣耀、英雄联盟CF、绝地求生等多款腾讯内部业务,能够有效抵御各类型DDoS和CC攻击行为,提供先进可靠的DDoS防护服务致力于保障游戏客户业务的安全、稳定
腾讯安全应急响应中心也将宙斯盾防护系统亮相5月23-24日的腾讯云2018云+未来峰会展区和游戏分论坛届时欢迎各位游戏行业和安全界人士一起莅临峰会,共话DDoS攻防
2018腾讯云云+未来峰会报名入口:https://cloud.tencent.com/developer/summit/2018-guangzhou
; o2 |- G% ~( b. K' Z" Q! l/ r
此文已由作者授权腾讯云+社区发布,原文链接:https://cloud.tencent.com/develo ... 6?fromSource=waitui
5 ^* }+ ]- u' ~



上一篇:天搜股份:企业要用拥抱变化的态度迎接新机遇
下一篇:机器学习,流式IoT和医疗设备互联
学大数据 到大讲台
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

在线咨询|关于锋云|联系我们|手机版|投诉建议|版权声明|云计算|Hadoop|大数据|锋云网 ( 京ICP备13050990号 )

这是云计算时代的精英部落,这是中国最大的云计算社区 —— 锋云网(sharpcloud.cn)!

本站CDN/存储服务由本站CDN/存储服务由又拍云提供提供

Powered by Discuz! X3.2

© 2001-2015 Sharpcloud.cn

 

锋云网官方QQ群

中国云计算精英群(ID:64924638)中国云计算精英群      Hadoop技术交流群②(ID:25728812)Hadoop技术交流群②      Spark技术交流群(ID:413581066)Spark技术交流群

Hadoop技术交流群(ID:113156288,2000人群已满)

返回顶部