DDoS预警：TCP反射的深度分析

TCP反射攻击是在现网的DDoS攻防对抗中，逐渐兴起的一种新型攻击方式。攻击者伪造源IP地址为被攻击目标的IP地址向公网上大量的TCP服务器（通常是CDN、WEB站点等）发送连接请求（SYN报文），这些被利用的TCP反射服务器在收到大量的连接报文后，会向被攻击目标响应大量的数据包，这些反射数据包的类型通常包括SYN-ACK、ACK、和RST-ACK，由于这些攻击流量通常混杂着正常业务流量，并且存在协议栈行为，导致传统的DDoS防御系统很难防御，因而使得这种攻击方式近年来呈现出不断上升的趋势。
一、攻击手法分析

1、本轮攻击混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常见的DDoS攻击，攻击流量峰值达到194Gbps。但是其中混杂着1.98Gbps/194wpps的syn/ack(syn、ack标志位同时置位，下同)小包引起安全人员的注意。

2、首先，syn/ack源端口集聚在80、8080、23、22、443等常用的TCP端口，目的端口则是被攻击的业务端口80(而正常情况下客户端访问业务时，源端口会使用1024以上的随机端口)。

3、除此之外，墨者安全团队还发现这些源IP的syn/ack报文存在TCP协议栈超时重传行为。为此安全人员判断这次很有可能是利用TCP协议发起的TCP反射攻击，并非一般随机伪造源TCP DDoS。

4、经统计分析：攻击来源几乎全部来源中国，国内源IP占比超过99.9%，攻击来源主要是IDC服务器；攻击过程中共采集到912726个攻击源，通过扫描确认开启TCP端口：21/22/23/80/443/8080/3389/81/1900的源占比超过95%，很明显这个就是利用现网TCP协议发起的反射攻击。


二、TCP反射攻击

与UDP反射攻击思路类似，攻击者发起TCP反射攻击的大致过程如下：

1、 攻击者通过IP地址欺骗方式，伪造目标服务器IP向公网上的TCP服务器发起连接请求(即syn包)；

2、 TCP服务器接收到请求后，向目标服务器返回syn/ack应答报文，就这样目标服务器接收到大量不属于自己连接进程的syn/ack报文，最终造成带宽、CPU等资源耗尽，拒绝服务。
三、防护难点

TCP反射攻击这种攻击手法的厉害之处，不在于流量是否被放大，而是以下三点：

1、 利用TCP反射，攻击者可以使攻击流量变成真实IP攻击，传统的反向挑战防护技术难以有效防护；

2、 反射的syn/ack报文存在协议栈行为，使防护系统更难识别防护，攻击流量透传几率更高；

3、 利用公网的服务器发起攻击，更贴近业务流量，与其他TCP攻击混合后，攻击行为更为隐蔽。

为此，TCP反射攻击相比传统伪造源的TCP攻击手法，具有隐蔽性更强、攻击手法更难防御的特点。

四、防护建议

纵使这种TCP反射攻击手法小隐隐于野，要防范起来比一般的攻击手法困难一些，但成功应对并非难事。

1、根据实际情况，封禁不必要的TCP源端口，建议接入墨者安全新一代高防解决方案，可提供灵活的高级安全策略；

2、建议配置BGP高防IP+三网高防IP，隐藏源站IP，接入墨者安全新一代解决方案BGP高防；

3、在面对高等级DDoS威胁时，接入云计算厂商的行业解决方案，必要时请求DDoS防护厂商的专家服务。 关于墨者安全
墨者安全致力于安全防护、服务器高防、网络高防、ddos防护、cc防护、dns防护、防劫持、高防服务器、高防dns、网站防护等方面的服务，全网第一款指纹识别技术防火墙，自研的WAF指纹识别架构，提供任意CC和DDoS攻击防御。