TCP反射DDoS攻击分析和如何防御的建议

最新推荐文章于 2023-06-14 22:06:29 发布
最新推荐文章于 2023-06-14 22:06:29 发布
阅读量298 收藏
点赞数
分类专栏: 云防护 安全防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45967826/article/details/108335762
版权

一、攻击手法分析

1、本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDOS攻击,攻击流量峰值达到194Gbps。但是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack标志位同时置位,下同)小包引起安全团队的注意。

2、首先,syn/ack源端口集聚在80、8080、23、22、443等常用的TCP端口,目的端口则是被攻击的业务端口80(而正常情况下客户端访问业务时,源端口会使用1024以上的随机端口)。

3、除此之外,墨者安全团队还发现这些源IP的syn/ack报文存在TCP协议栈超时重传行为。为此安全团队判断这次很有可能是利用TCP协议发起的TCP反射攻击,并非一般随机伪造源TCP DDoS。

4、经统计分析:攻击来源几乎全部来源中国,国内源IP占比超过99.9%,攻击来源主要是IDC服务器;攻击过程中共采集到912726个攻击源,通过扫描确认开启TCP端口:21/22/23/80/443/8080/3389/81/1900的源占比超过95%,很明显这个就是利用现网TCP协议发起的反射攻击。
二、TCP反射攻击

与UDP反射攻击思路类似,攻击者发起TCP反射攻击的大致过程如下:

1、 攻击者通过IP地址欺骗方式,伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包);

2、 TCP服务器接收到请求后,向目标服务器返回syn/ack应答报文,就这样目标服务器接收到大量不属于自己连接进程的syn/ack报文,最终造成带宽、CPU等资源耗尽,拒绝服务。
三、防护难点

TCP反射攻击这种攻击手法的厉害之处,不在于流量是否被放大,而是以下三点:

1、 利用TCP反射,攻击者可以使攻击流量变成真实IP攻击,传统的反向挑战防护技术难以有效防护;

2、 反射的syn/ack报文存在协议栈行为,使防护系统更难识别防护,攻击流量透传几率更高;

3、 利用公网的服务器发起攻击,更贴近业务流量,与其他TCP攻击混合后,攻击行为更为隐蔽。

为此,TCP反射攻击相比传统伪造源的TCP攻击手法,具有隐蔽性更强、攻击手法更难防御的特点。

四、防护建议

纵使这种TCP反射攻击手法小隐隐于野,要防范起来比一般的攻击手法困难一些,但成功应对并非难事。

1、根据实际情况,封禁不必要的TCP源端口,建议接入高防解决方案,可提供灵活的高级安全策略;

2、建议配置BGP高防IP+三网高防IP,隐藏源站IP。

qq_2354861503
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DDOSTCP反射及可行对抗
SinceY2015
01-29 726
TCP反射及可行对抗 1 背景 隐。 2 原理 主要利用了TCP协议比较唠叨的特性。 正常情况下,TCP三次握手如下: 被利用的情况下,攻击者对TCP协议利用的具体情况如下: 互联网内包含大量开放端口提供服务的机器,除了常用的80,443,22,23等长期处于等待监听状态的常用程序,还包括其他更多的开放端口等待提供服务的程序,如果被利用,则几乎没有方法能够防御效果良好且保持比较低的误杀率,此时...
TCP反射DDoS攻击分析与防护建议
LuHai3005151872的博客
07-23 442
近日,某游戏公司遭到混合DDOS攻击,在该事件中,攻击持续了整整1个多小时,流量峰值达到200多Gbps。通过分析发现,该攻击事件不同于以往是基于UDP协议发起,而是利用TCP协议发起反射攻击。今天将对该攻击手法简单分析一下,并分享一些防护建议,希望对广大互联网企业和游戏公司有所帮助。 一、攻击手法分析 1、本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDOS攻击,攻击流量峰值达到194Gbps。但是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack
小隐隐于野:基于TCP反射DDoS攻击分析
weixin_34117211的博客
05-14 218
欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~作者:腾讯DDoS安全专家、腾讯云游戏安全专家 陈国0x00 引言近期,腾讯云防护了一次针对云上某游戏业务的混合DDoS攻击。攻击持续了31分钟,流量峰值194Gbps。这个量级的攻击流量放在当前并没有太过引人注目的地方,但是腾讯云游戏安全专家团在详细复盘攻击手法时发现,混合攻击流量中竟混杂着利用TCP协议发起的反射攻击,现网极其少见。众所...
利用TCP反射放大攻击将中间件武器化
随便记记笔记
09-01 2817
https://www.usenix.org/conference/usenixsecurity21/presentation/bock https://www.youtube.com/watch?v=OSfgTbjb3og https://geneva.cs.umd.edu/papers/usenix-weaponizing-ddos.pdf https://github.com/breakerspace/weaponizing-censors https://geneva.cs.umd.edu/post
DDoS防护之TCP防护
weixin_33767813的博客
04-19 905
本文由  网易云 发布。   TCP协议,相信对于每一个开发工程师都不陌生。由于该协议是一个面向连接,可靠的特性,广泛应用于现在互联网的应用中。如常见的Web、SSH、FTP等都是基于TCP协议。目前TCP协议占全网的流量达到80%,因此这也成为黑客主要攻击的类别。   例如在2016年,造成美国大半个互联网下线的Dyn事件,10月21日,提供动态DNS服务的Dyn DNS遭到了大规模DD...
无心插柳还是有意为之:TCP反射DDoS攻击手法深入分析2.0.pdf
09-18
这些新的攻击特征表明,TCP反射DDoS攻击正变得更为复杂和难以防御。企业、金融机构和业务风控部门需要关注这种威胁,提升网络安全防范能力。解决方案可能包括但不限于强化端点安全,实施高级的渗透测试以检测潜在...
详解ddos攻击手段及防护防御手段_极品全面.zip
11-11
了解如何正确使用hping3,可以有助于防御和对抗DDoS攻击。 最后,防御DDoS攻击也需要多方面的配合,包括但不限于网络安全政策的制定、用户教育、及时的安全更新以及与第三方安全服务提供商的合作。只有构建全方位的...
全球云服务DDoS攻击防御实践.pdf
10-10
DDoS 攻击是网络安全领域中的一种常见的攻击形式,了解攻击的类型和特点,并采用多种防御方法,可以帮助抵御和缓解 DDoS 攻击。 知识点: 1. DDoS 攻击的定义和类型 2. 网络层攻击、传输层攻击和应用层攻击的特点...
破坏之王 DDoS攻击与防范深度剖析.pdf
10-29
### DDoS攻击与防范深度剖析 #### 一、DDoS攻击概述 ##### 1.1 定义 ...面对日益复杂的DDoS攻击,企业和组织必须采取积极有效的防护措施,构建多层次的防御体系,确保网络和服务的安全稳定运行。
黑客反制之路.大流量时代的DDos防护.pdf - 安全培训
12-30
此外,TCP反射攻击也日益普遍,如SYN-ACK、ACK、RST-ACK和RST反射,其反射源多、难以防御且类型复杂。 二、DDoS防御最佳实践 面对不断演变的DDoS攻击防御策略需要不断升级。最小的DDoS攻击可能只需一个SYN包,但...
TCP(ddos攻击研究
03-10
TCP(ddos攻击研究
DRDoS预警:TCP反射的深度分析
Baidu_Secrity的博客
04-26 363
0x00 背景 TCP反射攻击是在现网的DDoS攻防对抗中,逐渐兴起的一种新型攻击方式。攻击者伪造源IP地址为被攻击目标的IP地址向公网上大量的TCP服务器(通常是CDN、WEB站点等)发...
浅谈TCP协议与DDOS
qq_18144747的博客
03-03 979
本节内容 1.TCP协议浅谈 1.HTTP连接 2.SOCKET原理 3.TCP介绍 4.TCP连接的三次握手与四次挥手 2.DDOS 1.什么是DDOS 2.攻击原理 3.防护方法 4.其他攻击方式了解 一、TCP协议浅谈 1、HTTP连接 HTTP(HyperText Transfer Protocol,超文本传输协议)是互联网上应用最为广泛的一种网络协议,是用于从W...
基于TCP/IP 协议栈划分的DDoS攻击防御
亦在春风的博客
06-24 1417
ICMP请求需要一些服务器资源来处理每个请求并发送响应。该请求还需要传入消息(echo-r​​equest)和传出响应(echo-r​​eply)的带宽。Ping Flood 攻击旨在压倒目标设备响应大量请求和/或使用虚假流量使网络连接过载的能力。通过让僵尸网络中的许多设备针对具有 ICMP 请求的相同互联网资产或基础设施组件,攻击流量会大幅增加,可能会导致正常网络活动的中断。从历史上看,攻击者经常使用虚假IP 地址进行欺骗以屏蔽发送设备。在现代僵尸网络攻击中,恶意行为者很少发现需要掩饰机器人的 IP,而是
黑马程序员 网络(UDP传输和TCP传输)及反射
wytyh的专栏
09-15 796
------Java培训、Android培训、iOS培训、.Net培训、期待与您交流! ------- 一.IP地址
记一次关于从tcp协议到ddos的奇思妙想
最新发布
m0_72984458的博客
06-14 101
今天看到一篇TCP协议层面攻击方式的文章(虽然以前看过但是感觉自己快忘了),看到LAND攻击时突然有了启发,可不可以伪造成B向机器A发送一个数据包,机器A随后又发送一个回送包给真实的B,从而造成两台机器的资源消耗,且可以伪装成B向多台A发送数据包,造成多台A向真实的B回送包,从而导致伪DDOS,虽然这种方式发送的数据包量近似=直接ddos的数据包量,但可以有效避免防火墙对同一ip大量数据包的过滤,且如果有多台僵尸机,即可实现比使用多台僵尸机DDOS攻击更强的攻击实现。结果:B发送FIN,A不回复。
TCP三次握手与DDOS攻击原理
君之剑的专栏
03-30 897
转自:http://babyhe.blog.51cto.com/1104064/275296在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。     第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;     第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN
TCP报文 Flood攻击原理与防御方式
qq_32044265的博客
04-07 3090
TCP交互过程中包含SYN、SYN-ACK、ACK、FIN和RST报文,这几类报文也可能会被攻击者利用,海量的攻击报文会导致被攻击目标系统资源耗尽、网络拥塞,无法正常提供服务。接下来我们介绍几种常见的Flood攻击的原理和防御方式。
释放tcp连接的命令是_TCP协议超详细解析及攻击/防范
weixin_39997311的博客
11-22 453
TCP 协议作用TCP 协议使用的是面向连接的方法进行通信的,其作用如下:面向流的处理:TCP 以流的方式处理数据。换句话说,TCP 可以一个字节一个字节地接收数据,而不是一次接收一个预订格式的数据块。TCP 把接收到的数据组成长度不等的段,再传递到网际层。重新排序:如果数据以错误的顺序到达目的地,TCP 模块能够对数据重新排序,来恢复原始数据。流量控制:TCP 能够确保数据传输不会超过目的计算机...
DDoS攻击防御策略详解
防御DDoS攻击包括提升IP防御值和增加备用IP等方法,同时针对CC攻击需要采用特定的防御策略。" 网络安全是一个至关重要的领域,尤其是在数字化日益普及的今天。DDoS(Distributed Denial of Service,分布式拒绝服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值