小隱隱於野：基於TCP反射DDoS攻擊分析

歡迎你們前往騰訊雲+社區，獲取更多騰訊海量技術實踐乾貨哦~

做者：騰訊DDoS安全專家、騰訊雲遊戲安全專家 陳國

0x00 引言

近期，騰訊雲防禦了一次針對雲上某遊戲業務的混合DDoS攻擊。攻擊持續了31分鐘，流量峯值194Gbps。這個量級的攻擊流量放在當前並無太過引人注目的地方，可是騰訊雲遊戲安全專家團在詳細覆盤攻擊手法時發現，混合攻擊流量中竟混雜着利用TCP協議發起的反射攻擊，現網極其少見。

衆所周知，現網黑客熱衷的反射攻擊，不管是傳統的NTP、DNS、SSDP反射，近期大火的Memcached反射，仍是近期出現的IPMI反射，無一例外的都是基於UDP協議。而本次攻擊則是另闢蹊徑地利用TCP協議發起反射攻擊。本文將對這種攻擊手法作簡單分析和解讀，併爲廣大互聯網及遊戲行業朋友分享防禦建議。

0x01 攻擊手法分析

本輪攻擊混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常見的DDoS攻擊，攻擊流量峯值達到194Gbps。可是其中混雜着1.98Gbps/194wpps的syn/ack(syn、ack標誌位同時置位，下同)小包引發研究人員的注意。

首先，syn/ack源端口集聚在80、8080、2三、2二、443等經常使用的TCP端口，目的端口則是被攻擊的業務端口80(而正常狀況下客戶端訪問業務時，源端口會使用1024以上的隨機端口)。

除此以外，研究人員還發現這些源IP的syn/ack報文存在TCP協議棧超時重傳行爲。爲此研究人員判斷此次頗有多是利用TCP協議發起的TCP反射攻擊，並不是通常隨機僞造源TCP DDoS。

經統計分析：攻擊過程當中共採集到912726個攻擊源，經過掃描確認開啓TCP端口：21/22/23/80/443/8080/3389/81/1900的源佔比超過95%，很明顯這個就是利用現網TCP協議發起的反射攻擊。攻擊源IP端口存活狀況以下

備註：因爲存在單個IP可能存活多個端口，因此佔比總和會超過100%。

從源IP歸屬地上分析，攻擊來源幾乎所有來源中國，國內源IP佔比超過99.9%，攻擊源國家分佈以下:

從國內省份維度統計，源IP幾乎遍及國內全部省市，其中TOP 3來源省份分佈是廣東(16.9%)、江蘇(12.5%)、上海(8.8%)。

在攻擊源屬性方面，IDC服務器佔比58%， 而IoT設備和PC分別佔比36%、6%。因而可知：攻擊來源主要是IDC服務器。

0x02 TCP反射攻擊

與UDP反射攻擊思路相似，攻擊者發起TCP反射攻擊的大體過程以下：

一、 攻擊者經過IP地址欺騙方式，僞造目標服務器IP向公網上的TCP服務器發起鏈接請求(即syn包)；

二、 TCP服務器接收到請求後，向目標服務器返回syn/ack應答報文，就這樣目標服務器接收到大量不屬於本身鏈接進程的syn/ack報文，最終形成帶寬、CPU等資源耗盡，拒絕服務。

可能有人會疑惑：反射形成的syn/ack報文長度比原始的syn報文更小，根本沒有任何的放大效果，那爲什麼黑客要採用這種攻擊手法呢？其實這種攻擊手法的厲害之處，不在於流量是否被放大，而是如下三點：

一、 利用TCP反射，攻擊者可使攻擊流量變成真實IP攻擊，傳統的反向挑戰防禦技術難以有效防禦；

二、 反射的syn/ack報文存在協議棧行爲，使防禦系統更難識別防禦，攻擊流量透傳概率更高；

三、 利用公網的服務器發起攻擊，更貼近業務流量，與其餘TCP攻擊混合後，攻擊行爲更爲隱蔽。

爲此，TCP反射攻擊相比傳統僞造源的TCP攻擊手法，具備隱蔽性更強、攻擊手法更難防護的特色。

0x03 防禦建議

縱使這種TCP反射攻擊手法小隱隱於野，要防範起來比通常的攻擊手法困難一些，但成功應對並不是難事。

一、根據實際狀況，封禁沒必要要的TCP源端口，建議接入騰訊雲新一代高防解決方案，可提供靈活的高級安全策略；

二、建議配置BGP高防IP+三網高防IP，隱藏源站IP，接入騰訊雲新一代解決方案BGP高防；

三、在面對高等級DDoS威脅時，接入雲計算廠商的行業解決方案，必要時請求DDoS防禦廠商的專家服務。

0x04 總結

騰訊雲遊戲安全團隊在防禦住一輪針對雲上游戲業務的DDoS攻擊後，對攻擊手法作詳細分析過程當中發現黑客使用了現網極爲少見的TCP反射攻擊，該手法存在特性包括：

• 攻擊報文syn/ack置位；
  
• 源端口集聚在80/443/22/21/3389等經常使用的TCP服務端口，並且端口的源IP+端口真實存活；
  
• syn/ack報文tcp協議棧行爲超時重傳行爲；
  
• 源IP絕大部分來源國內，且分散在全國各個省份；
  
• 流量大部分來源於IDC服務器；
  
• 因爲攻擊源真實，且存在TCP協議棧行爲，防禦難度更大。
  

綜上所述：黑客利用互聯網上的TCP服務器發起TCP反射攻擊，相比常見的隨機僞造源攻擊，TCP反射攻擊有着更爲隱蔽，防禦難度更大等特色，對DDoS安全防禦將是一個新的挑戰。

騰訊雲宙斯盾DDoS防禦系統核心底層來自於騰訊安全平臺部，沉澱騰訊業務十餘年DDoS攻防對抗經驗，具備業內先進的DDoS檢測/防禦算法，同時引入了AI、大數據領先的防禦方案，服務於QQ、微信、王者榮耀、英雄聯盟、CF、絕地求生等多款騰訊內部業務，可以有效抵禦各種型DDoS和CC攻擊行爲，提供先進可靠的DDoS防禦服務，致力於保障遊戲客戶業務的安全、穩定。

騰訊安全應急響應中心也將攜宙斯盾防禦系統亮相5月23-24日的騰訊雲2018雲+將來峯會展區和遊戲分論壇，屆時歡迎各位遊戲行業和安全界人士一塊兒蒞臨峯會，共話DDoS攻防。

2018騰訊云云+將來峯會報名入口：cloud.tencent.com/developer/s…

問答
如何防範DDos攻擊？
相關閱讀
1.23T，騰訊雲成功防護了國內最大流量DDoS攻擊
初識常見DDoS攻擊手段
深刻淺出DDoS攻擊防護

此文已由做者受權騰訊雲+社區發佈，原文連接：https://cloud.tencent.com/developer/article/1121916?fromSource=waitui