眾所周知,現網黑客熱衷的反射攻擊,無論是傳統的ntp、dns、ssdp反射,近期大火的memcached反射,還是近期出現的ipmi反射,無一例外的都是基於udp協議。而本次攻擊則是另闢蹊徑地利用tcp協議發起反射攻擊。本文將對這種攻擊手法做簡單分析和解讀,並為廣大網際網路及遊戲行業朋友分享防護建議。
本**擊混合了synflood、rstflood、icmpflood等常見的ddos攻擊,攻擊流量峰值達到194gbps。但是其中混雜著1.98gbps/194wpps的syn/ack(syn、ack標誌位同時置位,下同)小包引起研究人員的注意。
首先,syn/ack源埠集聚在80、8080、23、22、443等常用的tcp埠,目的埠則是被攻擊的業務埠80(而正常情況下客戶端訪問業務時,源埠會使用1024以上的隨機埠)。
除此之外,研究人員還發現這些源ip的syn/ack報文存在tcp協議棧超時重傳行為。為此研究人員判斷這次很有可能是利用tcp協議發起的tcp反射攻擊,並非一般隨機偽造源tcp ddos。
經統計分析:攻擊過程中共採集到912726個攻擊源,通過掃瞄確認開啟tcp埠:21/22/23/80/443/8080/3389/81/1900的源佔比超過95%,很明顯這個就是利用現網tcp協議發起的反射攻擊。攻擊源ip埠存活情況如下
備註:由於存在單個ip可能存活多個埠,所以佔比總和會超過100%。
從源ip歸屬地上分析,攻擊**幾乎全部**中國,國內源ip佔比超過99.9%,攻擊源國家分布如下:
從國內省份維度統計,源ip幾乎遍布國內所有省市,其中top 3**省份分布是廣東(16.9%)、江蘇(12.5%)、上海(8.8%)。
與udp反射攻擊思路類似,攻擊者發起tcp反射攻擊的大致過程如下:
1、 攻擊者通過ip位址欺騙方式,偽造目標伺服器ip向公網上的tcp伺服器發起連線請求(即syn包);
2、 tcp伺服器接收到請求後,向目標伺服器返回syn/ack應答報文,就這樣目標伺服器接收到大量不屬於自己連線程序的syn/ack報文,最終造成頻寬、cpu等資源耗盡,拒絕服務。
可能有人會疑惑:反射造成的syn/ack報文長度比原始的syn報文更小,根本沒有任何的放大效果,那為何黑客要採用這種攻擊手法呢?其實這種攻擊手法的厲害之處,不在於流量是否被放大,而是以下三點:
1、 利用tcp反射,攻擊者可以使攻擊流量變成真實ip攻擊,傳統的反向挑戰防護技術難以有效防護;
2、 反射的syn/ack報文存在協議棧行為,使防護系統更難識別防護,攻擊流量透傳機率更高;
3、 利用公網的伺服器發起攻擊,更貼近業務流量,與其他tcp攻擊混合後,攻擊行為更為隱蔽。
為此,tcp反射攻擊相比傳統偽造源的tcp攻擊手法,具有隱蔽性更強、攻擊手法更難防禦的特點。
縱使這種tcp反射攻擊手法小隱隱於野,要防範起來比一般的攻擊手法困難一些,但成功應對並非難事。
綜上所述:黑客利用網際網路上的tcp伺服器發起tcp反射攻擊,相比常見的隨機偽造源攻擊,tcp反射攻擊有著更為隱蔽,防護難度更大等特點,對ddos安全防護將是乙個新的挑戰。
問答如何防範ddos攻擊?初識常見ddos攻擊手段
深入淺出ddos攻擊防禦
小隱隱於野 基於TCP反射DDoS攻擊分析
眾所周知,現網黑客熱衷的反射攻擊,無論是傳統的ntp dns ssdp反射,近期大火的memcached反射,還是近期出現的ipmi反射,無一例外的都是基於udp協議。而本次攻擊則是另闢蹊徑地利用tcp協議發起反射攻擊。本文將對這種攻擊手法做簡單分析和解讀,並為廣大網際網路及遊戲行業朋友分享防護建議...
PE頭部的解析(總結於小甲魚)
上次講到dos現在講下緊跟在dos頭部後面的pe頭 pe頭對映的是image nt header結構,裡面包含pe裝載器用到的重要字段 下圖是image nt header結構體原型有三個成員 signature欄位 在乙個有效的pe檔案裡,signature欄位被設定為 00 00 45 50 a...
無窮小鮮花置根於何處?
上世紀60年代,魯賓遜把無窮小概念引入數學研究之中,至此,無窮小微積分誕生了。引入無窮小概念涉及到數學基礎的研究。40年前,中科院張錦文 已故 與中國人大學袁萌主張把無窮小引入微積分的教學活動,並且。回顧歷史,為了弄清楚數學基礎,數學邏輯和集合論等領域被發展了出來 德國數學家康托爾 1845 191...