值得收藏好文，基於TCP反射DDoS攻擊分析

本文作者：騰訊DDoS安全專家、騰訊雲遊戲安全專家 陳國

▌引言

近期，騰訊雲防護了一次針對雲上某遊戲業務的混合DDoS攻擊。攻擊持續了31分鐘，流量峰值194Gbps。這個量級的攻擊流量放在當前並沒有太過引人注目的地方，但是騰訊雲遊戲安全專家團在詳細復盤攻擊手法時發現，混合攻擊流量中竟混雜著利用TCP協議發起的反射攻擊，現網極其少見。

眾所周知，現網黑客熱衷的反射攻擊，無論是傳統的NTP、DNS、SSDP反射，近期大火的Memcached反射，還是近期出現的IPMI反射，無一例外的都是基於UDP協議。而本次攻擊則是另闢蹊徑地利用TCP協議發起反射攻擊。本文將對這種攻擊手法做簡單分析和解讀，並為廣大互聯網及遊戲行業朋友分享防護建議。

▌攻擊手法分析

本輪攻擊混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常見的DDoS攻擊，攻擊流量峰值達到194Gbps。但是其中混雜著1.98Gbps/194wpps的syn/ack(syn、ack標誌位同時置位，下同)小包引起研究人員的注意。

首先，syn/ack源埠集聚在80、8080、23、22、443等常用的TCP埠，目的埠則是被攻擊的業務埠80(而正常情況下客戶端訪問業務時，源埠會使用1024以上的隨機埠)。

除此之外，研究人員還發現這些源IP的syn/ack報文存在TCP協議棧超時重傳行為。為此研究人員判斷這次很有可能是利用TCP協議發起的TCP反射攻擊，並非一般隨機偽造源TCP DDoS。

經統計分析：攻擊過程中共採集到912726個攻擊源，通過掃描確認開啟TCP埠：21/22/23/80/443/8080/3389/81/1900的源佔比超過95%，很明顯這個就是利用現網TCP協議發起的反射攻擊。攻擊源IP埠存活情況如下

埠

數量

佔比(%)

備註：由於存在單個IP可能存活多個埠，所以佔比總和會超過100%。

從源IP歸屬地上分析，攻擊來源幾乎全部來源中國，國內源IP佔比超過99.9%，攻擊源國家分布如下:

從國內省份維度統計，源IP幾乎遍布國內所有省市，其中TOP 3來源省份分布是廣東(16.9%)、江蘇(12.5%)、上海(8.8%)。

在攻擊源屬性方面，IDC伺服器佔比58%， 而IoT設備和PC分別佔比36%、6%。由此可見：攻擊來源主要是IDC伺服器。

▌TCP反射攻擊

與UDP反射攻擊思路類似，攻擊者發起TCP反射攻擊的大致過程如下：

1、攻擊者通過IP地址欺騙方式，偽造目標伺服器IP向公網上的TCP伺服器發起連接請求(即syn包)；

2、 TCP伺服器接收到請求後，向目標伺服器返回syn/ack應答報文，就這樣目標伺服器接收到大量不屬於自己連接進程的syn/ack報文，最終造成帶寬、CPU等資源耗盡，拒絕服務。

可能有人會疑惑：反射造成的syn/ack報文長度比原始的syn報文更小，根本沒有任何的放大效果，那為何黑客要採用這種攻擊手法呢？其實這種攻擊手法的厲害之處，不在於流量是否被放大，而是以下三點：

1、 利用TCP反射，攻擊者可以使攻擊流量變成真實IP攻擊，傳統的反向挑戰防護技術難以有效防護；

2、 反射的syn/ack報文存在協議棧行為，使防護系統更難識別防護，攻擊流量透傳幾率更高；

3、 利用公網的伺服器發起攻擊，更貼近業務流量，與其他TCP攻擊混合後，攻擊行為更為隱蔽。

為此，TCP反射攻擊相比傳統偽造源的TCP攻擊手法，具有隱蔽性更強、攻擊手法更難防禦的特點。

▌防護建議

縱使這種TCP反射攻擊手法小隱隱於野，要防範起來比一般的攻擊手法困難一些，但成功應對並非難事。

1、根據實際情況，封禁不必要的TCP源埠，建議接入騰訊雲新一代高防解決方案，可提供靈活的高級安全策略；

2、建議配置BGP高防IP+三網高防IP，隱藏源站IP，接入騰訊雲新一代解決方案BGP高防；

3、在面對高等級DDoS威脅時，接入雲計算廠商的行業解決方案，必要時請求DDoS防護廠商的專家服務。

▌總結

騰訊雲遊戲安全團隊在防護住一輪針對雲上遊戲業務的DDoS攻擊後，對攻擊手法做詳細分析過程中發現黑客使用了現網極為少見的TCP反射攻擊，該手法存在特性包括：

- 攻擊報文syn/ack置位；

- 源埠集聚在80/443/22/21/3389等常用的TCP服務埠，而且埠的源IP+埠真實存活；

- syn/ack報文tcp協議棧行為超時重傳行為；

- 源IP絕大部分來源國內，且分散在全國各個省份；

- 流量大部分來源於IDC伺服器；

- 由於攻擊源真實，且存在TCP協議棧行為，防護難度更大。

綜上所述：黑客利用互聯網上的TCP伺服器發起TCP反射攻擊，相比常見的隨機偽造源攻擊，TCP反射攻擊有著更為隱蔽，防護難度更大等特點，對DDoS安全防護將是一個新的挑戰。

騰訊雲新一代高防解決方案核心底層來自於騰訊安全平台部，沉澱騰訊業務十餘年DDoS攻防對抗經驗，具有業內先進的DDoS檢測/防護演算法，同時引入了AI、大數據領先的防護方案，服務於QQ、微信、王者榮耀、英雄聯盟、CF、絕地求生等多款騰訊內部業務，能夠有效抵禦各類型DDoS和CC攻擊行為，提供先進可靠的DDoS防護服務，致力於保障遊戲客戶業務的安全、穩定。

騰訊安全應急響應中心也將攜該防護系統亮相5月23-24日的騰訊雲2018雲+未來峰會展區和遊戲分論壇，屆時歡迎各位遊戲行業和安全界人士一起蒞臨峰會，共話DDoS攻防。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！