【DDoS】記一次利用內網資源的TCP反射型攻擊
引言
近期,華為云安全AntiDDoS團隊遇到了一次針對某游戲業務的混合DDoS攻擊,在這次攻擊中,黑客除了普通的流量型攻擊外,通過攻擊分析和復盤,我們發現還混合了精細構造的利用內網IP資源的TCP反射型攻擊,現網極其少見;我們認為這是一種新的攻擊思路,值得探討,提高大家警惕。
組網topology
如上圖,在IDC內存在大量的服務器和IP地址,黑客通過掃描獲取得到IDC網段IP以及存活的服務器IP列表,然后構造TCP攻擊報文發往這些服務器IP(源IP:PORT構造成攻擊目標的),這樣做,能達到:
1、繞過DDoS防護設備:
DDoS設備一般是根據防護的目標進行動態引流清洗回注,而此種報文,其目標只是IDC內普通的IP,并不在防護目標范圍內,因此這種流量不會經過DDoS清洗設備而是直接進入到IDC內部
2、反射攻擊的報文(比如針對SYN報文的RST回應報文)會在IDC內部直接發往目標服務器,造成目標癱瘓。
實際攻擊分析
攻擊發生時,我們在Router上進行抓包,如下圖:
這里,183.x.x.195就是被攻擊的目標IP,但這里抓包是源IP,也就是黑客偽造目標IP當做反射攻擊報文的源IP;
同時183.x.x.x其他地址均為跟攻擊目標IP在同一個IDC的IP,當做反射服務器所用。
當然,攻擊是混合型的,除了其他類型的攻擊外,我們抓到利用此種內網放射源的攻擊報文量在2G左右,由于是小包(74字節)而且所有此種類型報文均繞過了DDoS設備,所以目標服務器183.x.x.195的負荷量非常大,造成癱瘓。
防御措施思考
針對此種新型攻擊,可以提供的防御思路:
1、利用路由器的urpf進行防御,但目前路由器不可控而且運營商ISP均有各自的小九九,所以開不開urpf不一定
2、將IDC內所有IP/段均加入到DDoS防護設備的防護網段內,但DDoS防護設備性能有限,而且針對目標服務器IP的防護多數屬于IDC的增值服務,不會將所有網段均加入進來;而且即使加進來,由于反射攻擊報文是離散到N多個IP的,對單一IP的防御閾值可能在DDoS設備上完全達不到起始閾值
上述防御措施如果能夠用上,那自然是極好的。
BTW:如果還有其他的防御措施,期待大神支招。
通用安全 DDoS高防
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
版權聲明:本文內容由網絡用戶投稿,版權歸原作者所有,本站不擁有其著作權,亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容,請聯系我們jiasou666@gmail.com 處理,核實后本網站將在24小時內刪除侵權內容。
相關文章
