近日,深圳某游戏公司遭到混合DDoS攻击,该游戏公司紧急联系墨者安全团队处理,通过接入高防流量清洗服务恢复了正常运行。在该事件中,攻击持续了整整1个多小时,流量峰值达到200多Gbps。墨者团队通过分析发现,该攻击事件不同于以往是基于UDP协议发起,而是利用TCP协议发起反射攻击。今天墨者将对该攻击手法简单分析一下,并分享一些防护建议,希望对广大互联网企业和游戏公司有所帮助。
一、攻击手法分析
1、本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDoS攻击,攻击流量峰值达到194Gbps。但是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack标志位同时置位,下同)小包引起安全团队的注意。
2、首先,syn/ack源端口集聚在80、8080、23、22、443等常用的TCP端口,目的端口则是被攻击的业务端口80(而正常情况下客户端访问业务时,源端口会使用1024以上的随机端口)。
3、除此之外,墨者安全团队还发现这些源IP的syn/ack报文存在TCP协议栈超时重传行为。为此安全团队判断这次很有可能是利用TCP协议发起的TCP反射攻击,并非一般随机伪造源TCP DDoS。
4、经统计分析:攻击来源几乎全部来源中国,国内源IP占比超过99.9%,攻击来源主要是IDC服务器;攻击过程中共采集到912726个攻击源,通过扫描确认开启TCP端口:21/22/23/80/443/8080/3389/81/1900的源占比超过95%,很明显这个就是利用现网TCP协议发起的反射攻击。
二、TCP反射攻击
与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下:
1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包);
2、 TCP服务器接收到请求后,向目标服务器返回syn/ack应答报文,就这样目标服务器接收到大量不属于自己连接进程的syn/ack报文,最终造成带宽、CPU等资源耗尽,拒绝服务。
三、防护难点
TCP反射攻击这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点:
1、 利用TCP反射,攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护;
2、 反射的syn/ack报文存在协议栈行为,使防护系统更难识别防护,攻击流量透传几率更高;
3、 利用公网的服务器发起攻击,更贴近业务流量,与其他TCP攻击混合后,攻击行为更为隐蔽。
为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。
四、防护建议
纵使这种TCP反射攻击手法小隐隐于野,要防范起来比一般的攻击手法困难一些,但成功应对并非难事。
1、根据实际情况,封禁不必要的TCP源端口,建议接入墨者安全新一代高防解决方案,可提供灵活的高级安全策略;
2、建议配置BGP高防IP+三网高防IP,隐藏源站IP,接入墨者安全新一代解决方案BGP高防;
3、在面对高等级DDoS威胁时,接入云计算厂商的行业解决方案,必要时请求DDoS防护厂商的专家服务。
-->