TCP反射及可行對抗
1 背景
隱。
2 原理
主要利用了TCP協議比較嘮叨的特性。
正常情況下,TCP三次握手如下:
被利用的情況下,攻擊者對TCP協議利用的具體情況如下:
互聯網內包含大量開放端口提供服務的機器,除了常用的80,443,22,23等長期處於等待監聽狀態的常用程序,還包括其他更多的開放端口等待提供服務的程序,如果被利用,則幾乎沒有方法能夠防禦效果良好且保持比較低的誤殺率,此時就需要一個比較好的權衡,是要防範還是要正常的客戶請求。
3 資源
所需要的資源爲常見的DDoS攻擊資源:
- 能夠僞造源IP的主機
- 開放端口的服務器列表
使用威脅情報,查詢了80/443/22常用端口開放數量,80端口查詢結果如下圖所示,同時,對這幾個端口的數量進行了粗略統計,數量達到了1.5億以上(結果包含重合情況,即機器可能同時開放了80/443/22/23這四個端口的兩個或兩個以上,但是粗略統計,因此暫時忽略)。
![在這裏插入圖片描述]()
| 端口號 | 可利用資源的數量 |
|---|---|
| 80 | 81617495 |
| 443 | 48,393,070 |
| 22 | 20,083,018 |
| 23 | 6,006,201 |
| 總計 | 156099784 |
4 防禦難點
- 所有源都爲真實源,數量巨大;
- 利用協議棧的特性,接近正常業務,透傳率高,攻擊行爲隱蔽;
- 雲上業務一般上行和下行不爲同一條線路,基於會話難以監控記錄或者說,監控記錄會話代價較高。
5 對抗方法
5.1 源限速
此種方法可以針對來源IP進行限速。在反射源有限的情況做源IP維度的限速,具體可以統計到達的包,發現syn+ack比例較高(超過正常值)的異常源IP,將此IP加黑進行攻擊緩解。
5.2 基於會話
同時檢測到達目的IP的上行流量(即目的IP的發送數據包)和下行流量(即目的IP的接收數據包),基於TCP會話協議的特徵,當未檢測到下行流量卻有上行流量時,即攔截此會話。
此種方法爲相對有效的方法,當時由於行爲包含會話記錄、數據包解析、會話分析等多個行爲,對設備和程序的性能要求比較高,比較難以實現。
5.3 邊界防禦
正常情況下,客戶的請求使用的爲非常用端口向常用端口的請求,基於這一特性,可以阻斷源端口爲常用端口的會話。
5.4 包限速(常用方法)
這種是一種比較通用的方法,也就是在一段時間內限制到達目的IP的數據包速率,但缺陷也是很明顯的,會造成大量的正常業務會話被中斷,有比較高的誤攔截率。
5.5 基線學習(不太準確,但指代日常行爲學習)
這種方法是根據用戶平時的業務流量情況(比如一般情況的客戶來源、一般客戶請求的流量等行爲)進行流量限速,但其使用的限制條件爲客戶通常的業務流量大小,一旦超過正常的業務流量,就會開始進行攔截限速,同樣會造成正常業務會話的中斷。
6 總結
一般情況下,TCP反射很難防禦,但由於基本上無放大能力,需要達到的攻擊量和初始發送的攻擊量基本一致,攻擊的代價較高,因此也較少使用。但是對於後端帶寬不足夠的服務器來說,會造成正常業務的中斷。