墨者安全：TCP反射DDoS攻擊分(fēn)析與防護建議(yì)

近(jìn)日(rì)，深圳某遊戲公司遭到εγλ(dào)混合DDoS攻擊，該遊戲公司緊急聯系墨者安全團隊處理(lǐ ↕☆)，通(tōng)過接入高(gāo)防流量清洗服務恢複了(l™<€'e)正常運行(xíng)。在該事(shì)件≤∏¥‌(jiàn)中，攻擊持續了(le)整整1個(gè)多(du≈♣$ō)小(xiǎo)時(shí)，流量峰值達到(d£®☆←ào)200多(duō)Gbps。墨者團隊通(tōn¶∏©g)過分(fēn)析發現(xiàn)，該攻擊事(shì)÷®™•件(jiàn)不(bù)同于以往是(shì)基于UDP協議(y¶™←∞ì)發起，而是(shì)利用(yòng)TCP協議(yì)發起"≈$≠反射攻擊。今天墨者将對(duì)該攻擊手法簡單分(α♦fēn)析一(yī)下(xià)，并分(fēn)享一(yī)些(xiē₽$)防護建議(yì)，希望對(duì)廣大(dà)互聯網企業(yè)和(h®π↑é)遊戲公司有(yǒu)所幫助。

一(yī)、攻擊手法分(fēn)析

1、本輪攻擊混合了(le)SYNFLOOD、RSTFLOO™ ¶‌D、ICMPFLOOD等常見(jiàn)的(de)DDoS攻擊，攻擊流量峰值達到(dào)194Gbps。但(dàn)是(shì)其→ 中混雜(zá)著(zhe)1.98Gbps/194wpps的(de)sy✔®n/ack(syn、ack标志(zhì)位同時(shí)置位，下(xià)同)✘‌₹₽小(xiǎo)包引起安全團隊的(de)注意。

2、首先，syn/ack源端口集聚在80、8080、23、22、4₹<α¥43等常用(yòng)的(de)TCP端口，目的(de)端>≤€口則是(shì)被攻擊的(de)業(yè)務端口80'$♥(而正常情況下(xià)客戶端訪問(wèn)業(yè →)務時(shí)，源端口會(huì)使用(yòng)1024≈≈以上(shàng)的(de)随機(jī)端口)。

3、除此之外(wài)，墨者安全團隊還(hái)發現(xiàn)這(zh‍ ↔"è)些(xiē)源IP的(de)syn/ack報(bào)文(wén)∞¥★★存在TCP協議(yì)棧超時(shí)重傳行(xíng)為(wèi)。為(wè↕• i)此安全團隊判斷這(zhè)次很(hěn)有(y∞γ☆←ǒu)可(kě)能(néng)是(shì)利用(yòng)TCP協議(yì)£ £ε發起的(de)TCP反射攻擊，并非一(yī)般随機(jī)僞✘$造源TCP DDoS。

4、經統計(jì)分(fēn)析：攻擊來(lái)源幾乎全部來(láiΩφ)源中國(guó)，國(guó)內(nèi)源IP∞≤♥占比超過99.9%，攻擊來(lái)源主要>δ☆(yào)是(shì)IDC服務器(qì)；攻擊過程中 ≈¶​共采集到(dào)912726個(gè)攻擊源，通(tōng)過掃描确認開£ (kāi)啓TCP端口：21/22/23/80/44₹>><3/8080/3389/81/1900的‌★★(de)源占比超過95%，很(hěn)明×β♦(míng)顯這(zhè)個(gè)就(jiù→Ω≤)是(shì)利用(yòng)現(xiàn)網TCP±±≥協議(yì)發起的(de)反射攻擊。

二、TCP反射攻擊

與UDP反射攻擊思路(lù)類似，攻擊者發起TCP反射攻↑ε←擊的(de)大(dà)緻過程如(rú)下(xià)：

1、 攻擊者通(tōng)過IP地(dì)址欺≠♠<騙方式，僞造目标服務器(qì)IP向公網上(shàng)的(de)TCPφ<‌↑服務器(qì)發起連接請(qǐng)求(即syn包)；

2、 TCP服務器(qì)接收到(dào)請(≈≈qǐng)求後，向目标服務器(qì)返回syn/ack應答(&£♠←dá)報(bào)文(wén)，就(jiù)這(zhè)樣目↑×Ω‍标服務器(qì)接收到(dào)大(dà)量不(bγ♠ù)屬于自(zì)己連接進程的(de)syn/ac↓☆↕σk報(bào)文(wén)，最終造成帶寬、CPU等資源耗盡，拒絕服↑₽™務。

三、防護難點

TCP反射攻擊這(zhè)種攻擊手法的(de)厲害之處，不(bù)在于流量是(§™​shì)否被放(fàng)大(dà)，而是(shì)以下(xià)三點：

1、 利用(yòng)TCP反射，攻擊者可☆♦(kě)以使攻擊流量變成真實IP攻擊，傳統的(de)反向挑戰防護技(jì)術(₩✘∑shù)難以有(yǒu)效防護；

2、 反射的(de)syn/ack報(bào)文(wén)存在協議(yì)棧≈£₽∏行(xíng)為(wèi)，使防護系統更難識别防護，攻擊流量透傳幾率更高"±γ≤(gāo)；

3、 利用(yòng)公網的(de)服務器(qì)發起攻擊，更貼÷≈近(jìn)業(yè)務流量，與其他(tā)&ΩTCP攻擊混合後，攻擊行(xíng)為(wèi)更為(w∑γèi)隐蔽。

為(wèi)此，TCP反射攻擊相(xiàng)比傳統僞造↔"源的(de)TCP攻擊手法，具有(yǒu)隐蔽性更強、攻擊手法更難♦≤防禦的(de)特點。

四、防護建議(yì)

縱使這(zhè)種TCP反射攻擊手法小(xiǎo)隐隐于野，要←σ(yào)防範起來(lái)比一(yī)般β±₹的(de)攻擊手法困難一(yī)些(xiē)，但(dà☆₩₽n)成功應對(duì)并非難事(shì)。

1、根據實際情況，封禁不(bù)必要(yà‌π↔o)的(de)TCP源端口，建議(yì)接入墨者安全新一(yī) λ代高(gāo)防解決方案，可(kě)提供靈活的(de)高(gāo)級安φ₩→全策略；

2、建議(yì)配置BGP高(gāo)防IP+三網高(gāo)防IP，隐藏∏σ₽源站(zhàn)IP，接入墨者安全新一(Ωφyī)代解決方案BGP高(gāo)防；

3、在面對(duì)高(gāo)等級DDoS威脅時¥​(shí)，接入雲計(jì)算(suàn)廠(chǎng)商的("♠de)行(xíng)業(yè)解決方案，必π​★ 要(yào)時(shí)請(qǐng)求DDoS防護廠(chǎng)商的(de)專家(jiā)服務。