国产成人毛片毛片久久网_国产午夜激无码av毛片不_国产乱对白精彩在线播放_av资源站中文字幕_亚洲男人的天堂网站_国产成 人 综合 亚洲网_中国国产激情一区_少妇一级淫片免费放_亚洲一本大道av久在线播放_免费观看美女裸体网站

我們常聽說UDP反射攻擊，那你聽說過TCP反射攻擊嗎?

我們對(duì)TCP三次握手諳熟于心，但你確定服務(wù)器收到SYN包之后一定返回SYN/ACK嗎?

現(xiàn)網(wǎng)的DDoS對(duì)抗中，基于TCP協(xié)議的反射攻擊手法已經(jīng)悄然興起，而且出現(xiàn)了多次手法變種，對(duì)DDoS防護(hù)方帶來嚴(yán)峻的挑戰(zhàn)。新場(chǎng)景下的技術(shù)對(duì)抗如約而至。

0×00 引言

今天分享的是一種新型的攻擊手法  ——TCP反射攻擊：黑客偽造目的服務(wù)器IP向公網(wǎng)的TCP服務(wù)器發(fā)起連接請(qǐng)求(SYN)，以使得被攻擊服務(wù)器收到大量SYN/ACK報(bào)文，最終造成拒絕服務(wù)的手法。而由于這種反射攻擊存在協(xié)議棧行為，傳統(tǒng)的TCP防護(hù)算法難以湊效，這也使得這種攻擊手法有愈演愈烈之勢(shì)。

經(jīng)過我們團(tuán)隊(duì)研究人員長(zhǎng)期的跟蹤分析，發(fā)現(xiàn)這種攻擊手法出現(xiàn)了兩個(gè)新的特征：

黑客逐漸趨向利用CDN廠商的服務(wù)器資源發(fā)起TCP發(fā)射攻擊，因?yàn)橥ㄟ^掃描CDN廠商網(wǎng)段，可以快速、高效地獲得豐富的TCP服務(wù)器資源;

TCP反射攻擊流量從SYN/ACK轉(zhuǎn)變成ACK，防護(hù)難度進(jìn)一步增大。

0×01 TCP反射的新特征研究

特征一：黑客逐漸趨向于利用CDN廠商的服務(wù)器資源發(fā)起TCP發(fā)射攻擊

我們?cè)谡�理分析現(xiàn)網(wǎng)的TCP反射攻擊時(shí)，發(fā)現(xiàn)會(huì)經(jīng)常出現(xiàn)攻擊源幾乎全部來源海外CDN廠商的情況。如圖2、圖3所示，某次TCP反射攻擊事件中有99.88%的IP來源美國(guó)，而且88.39%屬于某個(gè)著名CDN廠商。

顯而易見這是黑客開始傾向于掃描CDN廠商的IP網(wǎng)段，以獲取大批量反射源的思路。由于CDN廠商的IP資源主要用于為用戶提供加速服務(wù)，不可避免地會(huì)開放TCP端口，黑客便可以通過這種方式快速地獲取到有效的TCP反射源。例如筆者隨機(jī)探測(cè)一個(gè)CDN廠商的C段IP，結(jié)果為：整個(gè)C段所有IP全部均有開放TCP端口  。

這種方法為黑客提供大量可用的TCP反射源，能夠讓攻擊者的資源實(shí)現(xiàn)最大化，而且TCP反射攻擊由于具備協(xié)議棧行為，傳統(tǒng)策略難以防護(hù)，所以不難推測(cè)后面這種攻擊手法將越來越盛行，為DDoS防護(hù)方帶來不小的挑戰(zhàn)。

特征二：反射流量從SYN/ACK報(bào)文轉(zhuǎn)變?yōu)锳CK報(bào)文，防護(hù)難度進(jìn)一步增大

這里給人的第一反應(yīng)可能就是顛覆了我們TCP三次握手的印象，一個(gè)服務(wù)器(反射源)收到一個(gè)SYN請(qǐng)求，不應(yīng)該是返回SYN/ACK嗎?怎么會(huì)返回ACK包?為了解答這個(gè)問題，容筆者從黑客偽造SYN請(qǐng)求的過程說起…

首先如上文描述TCP反射的原理，黑客會(huì)控制肉雞偽造成被攻擊服務(wù)器的IP對(duì)公網(wǎng)的TCP服務(wù)器發(fā)起SYN請(qǐng)求，而公網(wǎng)TCP服務(wù)器的端口都是固定的，所以為了實(shí)現(xiàn)反射，SYN請(qǐng)求中的目的端口也同樣固定。與此同時(shí)，為了達(dá)到更好的攻擊效果，黑客需要使反射出來的報(bào)文的目的端口為被攻擊服務(wù)器的業(yè)務(wù)端口(繞過安全設(shè)備將非業(yè)務(wù)端口的流量直接攔截的策略)，也就是說SYN請(qǐng)求報(bào)文中的源端口也是固定的。就是基于這些原因，攻擊者偽造SYN請(qǐng)求報(bào)文的五元組通常都會(huì)出現(xiàn)集聚  ，這個(gè)結(jié)論其實(shí)很重要，因?yàn)樗�就是引發(fā)服務(wù)器反彈ACK的前提條件。

舉例如圖5所示：黑客需要攻擊的服務(wù)器IP為183.*.*.45，其業(yè)務(wù)端口為80，而黑客掌握的TCP反射服務(wù)器的IP是104.*.*.35，開放的端口是8080，那么攻擊時(shí)構(gòu)造SYN包的五元組就會(huì)集聚在Protocol:  TCP、DST_IP: 104.*.*.35、SRC_IP: 183.*.*.45、DST_PORT: 8080、SRC_PORT: 80。

而我們都知道五元組決定了一個(gè)會(huì)話，所以當(dāng)黑客短時(shí)時(shí)間構(gòu)造大量相同五元組的SYN包發(fā)送到同一臺(tái)TCP服務(wù)器時(shí)，就會(huì)造成大量的“會(huì)話沖突”。也就是說從TCP服務(wù)器的角度來看，接收到第一個(gè)SYN包后，服務(wù)器返回SYN/ACK等待ACK以建立TCP連接，而此時(shí)又再接收到同一個(gè)會(huì)話的SYN。那TCP服務(wù)器會(huì)怎么處理呢?再次返回SYN/ACK?RST?還是其他?

其實(shí)在這個(gè)情況下，TCP服務(wù)器具體怎么處理決定因素在于SYN包的seq號(hào)和服務(wù)器的window  size!假設(shè)第一個(gè)SYN包的seq號(hào)為SEQ1，TCP服務(wù)器的windows size為WND，而第二個(gè)SYN的seq號(hào)為SEQ2，那么：

一、如果SEQ2==SEQ1，此時(shí)TCP服務(wù)器會(huì)認(rèn)為這個(gè)是SYN包重傳，則再次返回SYN/ACK(其實(shí)是在重傳SYN/ACK)，如圖6所示。這個(gè)攻擊場(chǎng)景從被攻擊服務(wù)器的視角來看，就是在短時(shí)間內(nèi)接收到大量的SYN/ACK報(bào)文，造成拒絕服務(wù)，這也是現(xiàn)網(wǎng)最為常見的場(chǎng)景之一。

二、如果SEQ2>SEQ1+WND或者SEQ2

圖7 RFC: 793 page69

所以當(dāng)黑客偽造SYN報(bào)文的SEQ隨機(jī)變化時(shí)，就很容易命中上述情況，TCP服務(wù)器就會(huì)返回ACK報(bào)文，如圖8、圖9所示。

圖8 TCP反射，反彈ACK場(chǎng)景(SEQ2>SEQ1+WND)

圖9 TCP反射，反彈ACK場(chǎng)景(SEQ2

這個(gè)場(chǎng)景中，被攻擊服務(wù)器會(huì)接收到少量SYN/ACK以及大量的ACK報(bào)文，這是現(xiàn)網(wǎng)最越來越常見的場(chǎng)景。如圖10為現(xiàn)網(wǎng)中一次真實(shí)TCP反射攻擊的抓包采樣，表面上看跟普通的ACKFLOOD攻擊沒有太大區(qū)別，而實(shí)際上這些流量是具有協(xié)議棧行為，所以傳統(tǒng)策略難以有效防護(hù)。

圖10 現(xiàn)網(wǎng)TCP反射攻擊采樣

三、如果SEQ1

圖11 TCP反射，反彈RST場(chǎng)景

綜上所述，黑客為了實(shí)現(xiàn)TCP反射攻擊，而且盡可能繞過防護(hù)策略，所以偽造的SYN報(bào)文的五元組會(huì)出現(xiàn)集聚，造成嚴(yán)重的會(huì)話沖突。而不同的SEQ號(hào)會(huì)觸發(fā)TCP服務(wù)器不同的應(yīng)答場(chǎng)景(情況匯總見圖12)，所以現(xiàn)網(wǎng)中的TCP反射除了會(huì)出現(xiàn)大量的SYN/ACK流量以外，還有可能出現(xiàn)少量SYN/ACK+大量ACK的混合流量，而且后者的流量成份更為復(fù)雜，防護(hù)難度更大。

0×02 新型的 TCP 反射防護(hù)算法

筆者整理總結(jié)了TCP反射防護(hù)的主要難點(diǎn)：

1、TCP反射流量具有協(xié)議棧行為，傳統(tǒng)的防護(hù)算法難以識(shí)別和防護(hù);

2、專業(yè)的抗D設(shè)備通常旁路部署，所以無法獲得服務(wù)器出流量，這也意味著無法通過雙向會(huì)話檢查的方式進(jìn)行防護(hù);

3、TCP反射通常為SYN/ACK和ACK的混合流量，而且在成份占比和行為上跟正常業(yè)務(wù)流量幾乎沒有太大區(qū)別，所以傳統(tǒng)的成份分析、限速等方式也難以湊效。