小隐隐于野：基于TCP反射DDoS攻击分析

欢迎你们前往腾讯云+社区，获取更多腾讯海量技术实践干货哦~

做者：腾讯DDoS安全专家、腾讯云游戏安全专家 陈国

0x00 引言

近期，腾讯云防御了一次针对云上某游戏业务的混合DDoS攻击。攻击持续了31分钟，流量峰值194Gbps。这个量级的攻击流量放在当前并无太过引人注目的地方，可是腾讯云游戏安全专家团在详细复盘攻击手法时发现，混合攻击流量中竟混杂着利用TCP协议发起的反射攻击，现网极其少见。

众所周知，现网黑客热衷的反射攻击，不管是传统的NTP、DNS、SSDP反射，近期大火的Memcached反射，仍是近期出现的IPMI反射，无一例外的都是基于UDP协议。而本次攻击则是另辟蹊径地利用TCP协议发起反射攻击。本文将对这种攻击手法作简单分析和解读，并为广大互联网及游戏行业朋友分享防御建议。

0x01 攻击手法分析

本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDoS攻击，攻击流量峰值达到194Gbps。可是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack标志位同时置位，下同)小包引发研究人员的注意。

首先，syn/ack源端口集聚在80、8080、2三、2二、443等经常使用的TCP端口，目的端口则是被攻击的业务端口80(而正常状况下客户端访问业务时，源端口会使用1024以上的随机端口)。

除此以外，研究人员还发现这些源IP的syn/ack报文存在TCP协议栈超时重传行为。为此研究人员判断此次颇有多是利用TCP协议发起的TCP反射攻击，并不是通常随机伪造源TCP DDoS。

经统计分析：攻击过程当中共采集到912726个攻击源，经过扫描确认开启TCP端口：21/22/23/80/443/8080/3389/81/1900的源占比超过95%，很明显这个就是利用现网TCP协议发起的反射攻击。攻击源IP端口存活状况以下

备注：因为存在单个IP可能存活多个端口，因此占比总和会超过100%。

从源IP归属地上分析，攻击来源几乎所有来源中国，国内源IP占比超过99.9%，攻击源国家分布以下:

从国内省份维度统计，源IP几乎遍及国内全部省市，其中TOP 3来源省份分布是广东(16.9%)、江苏(12.5%)、上海(8.8%)。

在攻击源属性方面，IDC服务器占比58%， 而IoT设备和PC分别占比36%、6%。因而可知：攻击来源主要是IDC服务器。

0x02 TCP反射攻击

与UDP反射攻击思路相似，攻击者发起TCP反射攻击的大体过程以下：

一、 攻击者经过IP地址欺骗方式，伪造目标服务器IP向公网上的TCP服务器发起链接请求(即syn包)；

二、 TCP服务器接收到请求后，向目标服务器返回syn/ack应答报文，就这样目标服务器接收到大量不属于本身链接进程的syn/ack报文，最终形成带宽、CPU等资源耗尽，拒绝服务。

可能有人会疑惑：反射形成的syn/ack报文长度比原始的syn报文更小，根本没有任何的放大效果，那为什么黑客要采用这种攻击手法呢？其实这种攻击手法的厉害之处，不在于流量是否被放大，而是如下三点：

一、 利用TCP反射，攻击者可使攻击流量变成真实IP攻击，传统的反向挑战防御技术难以有效防御；

二、 反射的syn/ack报文存在协议栈行为，使防御系统更难识别防御，攻击流量透传概率更高；

三、 利用公网的服务器发起攻击，更贴近业务流量，与其余TCP攻击混合后，攻击行为更为隐蔽。

为此，TCP反射攻击相比传统伪造源的TCP攻击手法，具备隐蔽性更强、攻击手法更难防护的特色。

0x03 防御建议

纵使这种TCP反射攻击手法小隐隐于野，要防范起来比通常的攻击手法困难一些，但成功应对并不是难事。

一、根据实际状况，封禁没必要要的TCP源端口，建议接入腾讯云新一代高防解决方案，可提供灵活的高级安全策略；

二、建议配置BGP高防IP+三网高防IP，隐藏源站IP，接入腾讯云新一代解决方案BGP高防；

三、在面对高等级DDoS威胁时，接入云计算厂商的行业解决方案，必要时请求DDoS防御厂商的专家服务。

0x04 总结

腾讯云游戏安全团队在防御住一轮针对云上游戏业务的DDoS攻击后，对攻击手法作详细分析过程当中发现黑客使用了现网极为少见的TCP反射攻击，该手法存在特性包括：

• 攻击报文syn/ack置位；
  
• 源端口集聚在80/443/22/21/3389等经常使用的TCP服务端口，并且端口的源IP+端口真实存活；
  
• syn/ack报文tcp协议栈行为超时重传行为；
  
• 源IP绝大部分来源国内，且分散在全国各个省份；
  
• 流量大部分来源于IDC服务器；
  
• 因为攻击源真实，且存在TCP协议栈行为，防御难度更大。
  

综上所述：黑客利用互联网上的TCP服务器发起TCP反射攻击，相比常见的随机伪造源攻击，TCP反射攻击有着更为隐蔽，防御难度更大等特色，对DDoS安全防御将是一个新的挑战。

腾讯云宙斯盾DDoS防御系统核心底层来自于腾讯安全平台部，沉淀腾讯业务十余年DDoS攻防对抗经验，具备业内先进的DDoS检测/防御算法，同时引入了AI、大数据领先的防御方案，服务于QQ、微信、王者荣耀、英雄联盟、CF、绝地求生等多款腾讯内部业务，可以有效抵御各种型DDoS和CC攻击行为，提供先进可靠的DDoS防御服务，致力于保障游戏客户业务的安全、稳定。

腾讯安全应急响应中心也将携宙斯盾防御系统亮相5月23-24日的腾讯云2018云+将来峰会展区和游戏分论坛，届时欢迎各位游戏行业和安全界人士一块儿莅临峰会，共话DDoS攻防。

2018腾讯云云+将来峰会报名入口：cloud.tencent.com/developer/s…

问答
如何防范DDos攻击？
相关阅读
1.23T，腾讯云成功防护了国内最大流量DDoS攻击
初识常见DDoS攻击手段
深刻浅出DDoS攻击防护

此文已由做者受权腾讯云+社区发布，原文连接：https://cloud.tencent.com/developer/article/1121916?fromSource=waitui