歡迎大家前往騰訊雲+社區，獲取更多騰訊海量技術實踐幹貨哦~

作者：騰訊DDoS安全專家、騰訊雲遊戲安全專家 陳國

0x00 引言

近期，騰訊雲防護了一次針對雲上某遊戲業務的混合DDoS攻擊。攻擊持續了31分鐘，流量峰值194Gbps。這個量級的攻擊流量放在當前並沒有太過引人註目的地方，但是騰訊雲遊戲安全專家團在詳細復盤攻擊手法時發現，混合攻擊流量中竟混雜著利用TCP協議發起的反射攻擊，現網極其少見。

眾所周知，現網黑客熱衷的反射攻擊，無論是傳統的NTP、DNS、SSDP反射，近期大火的Memcached反射，還是近期出現的IPMI反射，無一例外的都是基於UDP協議。而本次攻擊則是另辟蹊徑地利用TCP協議發起反射攻擊。本文將對這種攻擊手法做簡單分析和解讀，並為廣大互聯網及遊戲行業朋友分享防護建議。

0x01 攻擊手法分析

本輪攻擊混合了SYNFLOOD、RSTFLOOD、ICMPFLOOD等常見的DDoS攻擊，攻擊流量峰值達到194Gbps。但是其中混雜著1.98Gbps/194wpps的syn/ack(syn、ack標誌位同時置位，下同)小包引起研究人員的註意。

首先，syn/ack源端口集聚在80、8080、23、22、443等常用的TCP端口，目的端口則是被攻擊的業務端口80(而正常情況下客戶端訪問業務時，源端口會使用1024以上的隨機端口)。

除此之外，研究人員還發現這些源IP的syn/ack報文存在TCP協議棧超時重傳行為。為此研究人員判斷這次很有可能是利用TCP協議發起的TCP反射攻擊，並非一般隨機偽造源TCP DDoS。

經統計分析：攻擊過程中共采集到912726個攻擊源，通過掃描確認開啟TCP端口：21/22/23/80/443/8080/3389/81/1900的源占比超過95%，很明顯這個就是利用現網TCP協議發起的反射攻擊。攻擊源IP端口存活情況如下

備註：由於存在單個IP可能存活多個端口，所以占比總和會超過100%。

從源IP歸屬地上分析，攻擊來源幾乎全部來源中國，國內源IP占比超過99.9%，攻擊源國家分布如下:

從國內省份維度統計，源IP幾乎遍布國內所有省市，其中TOP 3來源省份分布是廣東(16.9%)、江蘇(12.5%)、上海(8.8%)。

在攻擊源屬性方面，IDC服務器占比58%， 而IoT設備和PC分別占比36%、6%。由此可見：攻擊來源主要是IDC服務器。

0x02 TCP反射攻擊

與UDP反射攻擊思路類似，攻擊者發起TCP反射攻擊的大致過程如下：

1、 攻擊者通過IP地址欺騙方式，偽造目標服務器IP向公網上的TCP服務器發起連接請求(即syn包)；

2、 TCP服務器接收到請求後，向目標服務器返回syn/ack應答報文，就這樣目標服務器接收到大量不屬於自己連接進程的syn/ack報文，最終造成帶寬、CPU等資源耗盡，拒絕服務。

可能有人會疑惑：反射造成的syn/ack報文長度比原始的syn報文更小，根本沒有任何的放大效果，那為何黑客要采用這種攻擊手法呢？其實這種攻擊手法的厲害之處，不在於流量是否被放大，而是以下三點：

1、 利用TCP反射，攻擊者可以使攻擊流量變成真實IP攻擊，傳統的反向挑戰防護技術難以有效防護；

2、 反射的syn/ack報文存在協議棧行為，使防護系統更難識別防護，攻擊流量透傳幾率更高；

3、 利用公網的服務器發起攻擊，更貼近業務流量，與其他TCP攻擊混合後，攻擊行為更為隱蔽。

為此，TCP反射攻擊相比傳統偽造源的TCP攻擊手法，具有隱蔽性更強、攻擊手法更難防禦的特點。

0x03 防護建議

縱使這種TCP反射攻擊手法小隱隱於野，要防範起來比一般的攻擊手法困難一些，但成功應對並非難事。

1、根據實際情況，封禁不必要的TCP源端口，建議接入騰訊雲新一代高防解決方案，可提供靈活的高級安全策略；

2、建議配置BGP高防IP+三網高防IP，隱藏源站IP，接入騰訊雲新一代解決方案BGP高防；

3、在面對高等級DDoS威脅時，接入雲計算廠商的行業解決方案，必要時請求DDoS防護廠商的專家服務。

0x04 總結

騰訊雲遊戲安全團隊在防護住一輪針對雲上遊戲業務的DDoS攻擊後，對攻擊手法做詳細分析過程中發現黑客使用了現網極為少見的TCP反射攻擊，該手法存在特性包括：

? 攻擊報文syn/ack置位；

? 源端口集聚在80/443/22/21/3389等常用的TCP服務端口，而且端口的源IP+端口真實存活；

? syn/ack報文tcp協議棧行為超時重傳行為；

? 源IP絕大部分來源國內，且分散在全國各個省份；

? 流量大部分來源於IDC服務器；

? 由於攻擊源真實，且存在TCP協議棧行為，防護難度更大。

綜上所述：黑客利用互聯網上的TCP服務器發起TCP反射攻擊，相比常見的隨機偽造源攻擊，TCP反射攻擊有著更為隱蔽，防護難度更大等特點，對DDoS安全防護將是一個新的挑戰。

騰訊雲新一代高防解決方案核心底層來自於騰訊安全平臺部，沈澱騰訊業務十余年DDoS攻防對抗經驗，具有業內先進的DDoS檢測/防護算法，同時引入了AI、大數據領先的防護方案，服務於QQ、微信、王者榮耀、英雄聯盟、CF、絕地求生等多款騰訊內部業務，能夠有效抵禦各類型DDoS和CC攻擊行為，提供先進可靠的DDoS防護服務，致力於保障遊戲客戶業務的安全、穩定。

騰訊安全應急響應中心也將攜該防護系統亮相5月23-24日的騰訊雲2018雲+未來峰會展區和遊戲分論壇，屆時歡迎各位遊戲行業和安全界人士一起蒞臨峰會，共話DDoS攻防。

2018騰訊雲雲+未來峰會報名入口：https://cloud.tencent.com/developer/summit/2018-guangzhou

問答

如何防範DDos攻擊？

相關閱讀

1.23T，騰訊雲成功防禦了國內最大流量DDoS攻擊

初識常見DDoS攻擊手段

深入淺出DDoS攻擊防禦

此文已由作者授權騰訊雲+社區發布，原文鏈接：https://cloud.tencent.com/developer/article/1121916?fromSource=waitui

小隱隱於野：基於TCP反射DDoS攻擊分析