TCP SYN-ACK 反射DDoS攻击活动分析

Radware研究人员在过去一个月内监测到DDOS攻击活动频率增加,受害者包括许多大公司,具体有亚马逊、IBM子公司SoftLayer、Eurobet Italia SRL、韩国电信、HZ Hosting和SK Broadband。

10月份,研究人员发现大量看似来自合法源的TCP SYN请求,这表明这是一起正在进行的黑名单期盼或反射性DDoS攻击活动。10月有一个重大的事件就是Eurobet网络被攻击,由于twitter上有一条要求支付价值8万美金的比特币的推文,因此研究人员最初怀疑Eurobet遭遇了勒索DoS(RDoS)攻击。

图1 — @ItDdos要求支付8万美元的比特币来停止RDoS攻击

 

针对Eurobet的攻击持续了数天,以至于许多小企业也开始认为自己回是SYN洪泛攻击的目标。

图 3 — 来自Eurobet 地址空间的包总数– 2019年10月

10月底,另一波DDoS攻击来袭,攻击目标是土耳其的金融和电信行业。在24小时内,来自7000个不同源IP的上百万TCP-SYN包攻击了22,25,53,80和443端口。这些端口对应的服务分别是22 SSH服务,25 SMTP, 53 DNS,80 HTTP,139 NetBIOS, 443 HTTPS, 445 SMB和3389 RDP。

30天内,Radware发现了大量滥用TCP实现针对大公司进行TCP反射攻击的犯罪活动。这些攻击不仅影响被攻击的目标网络,还破坏了全球范围内的反射网络。

研究人员分析发现最近的攻击活动中使用的TCP攻击的类型为TCP SYN-ACK反射攻击。在该攻击中,攻击者发送含有伪造的源IP地址的伪造SYN包到随机或预先选择的反射IP地址。然后反射地址就会回复SYN-ACK包到欺骗攻击中的受害者。如果受害者不响应,反射服务就会继续重新传输SYN-ACK包,造成放大的结果。放大的数量(倍数)与反射服务重传的SYN-ACK的数量有关,而攻击者可以自定义该值。

TCP三次握手原理:

反射攻击示意图:

用户被充做反射器:

研究人员分析发现大多数目标网络可能并不会响应这些伪造的请求。而且攻击带来的影响很大,并不仅仅是目标受害者受到了影响,目标受害者需要应对TCP洪泛流量,而一些随机选择的反射器包括一些小型企业和普通家庭,反射器也需要处理伪造的请求和来自攻击目标的合法响应消息。

完整报告参见:https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attacks/

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启