DDoS】记一次利用内网资源的TCP反射型攻击

网友投稿 743 2022-05-29

引言

近期,华为云安全AntiDDoS团队遇到了一次针对某游戏业务的混合DDoS攻击,在这次攻击中,黑客除了普通的流量型攻击外,通过攻击分析和复盘,我们发现还混合了精细构造的利用内网IP资源的TCP反射型攻击,现网极其少见;我们认为这是一种新的攻击思路,值得探讨,提高大家警惕。

组网topology

【DDoS】记一次利用内网资源的TCP反射型攻击

如上图,在IDC内存在大量的服务器和IP地址,黑客通过扫描获取得到IDC网段IP以及存活的服务器IP列表,然后构造TCP攻击报文发往这些服务器IP(源IP:PORT构造成攻击目标的),这样做,能达到:

1、绕过DDoS防护设备:

DDoS设备一般是根据防护的目标进行动态引流清洗回注,而此种报文,其目标只是IDC内普通的IP,并不在防护目标范围内,因此这种流量不会经过DDoS清洗设备而是直接进入到IDC内部

2、反射攻击的报文(比如针对SYN报文的RST回应报文)会在IDC内部直接发往目标服务器,造成目标瘫痪。

实际攻击分析

攻击发生时,我们在Router上进行抓包,如下图:

这里,183.x.x.195就是被攻击的目标IP,但这里抓包是源IP,也就是黑客伪造目标IP当做反射攻击报文的源IP;

同时183.x.x.x其他地址均为跟攻击目标IP在同一个IDC的IP,当做反射服务器所用。

当然,攻击是混合型的,除了其他类型的攻击外,我们抓到利用此种内网放射源的攻击报文量在2G左右,由于是小包(74字节)而且所有此种类型报文均绕过了DDoS设备,所以目标服务器183.x.x.195的负荷量非常大,造成瘫痪。

防御措施思考

针对此种新型攻击,可以提供的防御思路:

1、利用路由器的urpf进行防御,但目前路由器不可控而且运营商ISP均有各自的小九九,所以开不开urpf不一定

2、将IDC内所有IP/段均加入到DDoS防护设备的防护网段内,但DDoS防护设备性能有限,而且针对目标服务器IP的防护多数属于IDC的增值服务,不会将所有网段均加入进来;而且即使加进来,由于反射攻击报文是离散到N多个IP的,对单一IP的防御阈值可能在DDoS设备上完全达不到起始阈值

上述防御措施如果能够用上,那自然是极好的。

BTW:如果还有其他的防御措施,期待大神支招。

通用安全 DDoS高防

版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。

上一篇:华为云数据库GaussDB(for openGauss):初次见面,认识一下
下一篇:【FusionInsight Elasticsearch二次开发最佳实践】业务场景&数据规划
相关文章