TCP SYN-ACK 反射DDoS攻击活动分析

ang010ela 新闻 2019年11月18日发布
Favorite收藏

导语:​研究人员近期发现一起攻击亚马逊、Softlayer 和电信基础设施的DDOS攻击活动,分析发现使用的是TCP SYN-ACK 反射技术。

Radware研究人员在过去一个月内监测到DDOS攻击活动频率增加,受害者包括许多大公司,具体有亚马逊、IBM子公司SoftLayer、Eurobet Italia SRL、韩国电信、HZ Hosting和SK Broadband。

10月份,研究人员发现大量看似来自合法源的TCP SYN请求,这表明这是一起正在进行的黑名单期盼或反射性DDoS攻击活动。10月有一个重大的事件就是Eurobet网络被攻击,由于twitter上有一条要求支付价值8万美金的比特币的推文,因此研究人员最初怀疑Eurobet遭遇了勒索DoS(RDoS)攻击。

图1 — @ItDdos要求支付8万美元的比特币来停止RDoS攻击

 

针对Eurobet的攻击持续了数天,以至于许多小企业也开始认为自己回是SYN洪泛攻击的目标。

图 3 — 来自Eurobet 地址空间的包总数– 2019年10月

10月底,另一波DDoS攻击来袭,攻击目标是土耳其的金融和电信行业。在24小时内,来自7000个不同源IP的上百万TCP-SYN包攻击了22,25,53,80和443端口。这些端口对应的服务分别是22 SSH服务,25 SMTP, 53 DNS,80 HTTP,139 NetBIOS, 443 HTTPS, 445 SMB和3389 RDP。

30天内,Radware发现了大量滥用TCP实现针对大公司进行TCP反射攻击的犯罪活动。这些攻击不仅影响被攻击的目标网络,还破坏了全球范围内的反射网络。

研究人员分析发现最近的攻击活动中使用的TCP攻击的类型为TCP SYN-ACK反射攻击。在该攻击中,攻击者发送含有伪造的源IP地址的伪造SYN包到随机或预先选择的反射IP地址。然后反射地址就会回复SYN-ACK包到欺骗攻击中的受害者。如果受害者不响应,反射服务就会继续重新传输SYN-ACK包,造成放大的结果。放大的数量(倍数)与反射服务重传的SYN-ACK的数量有关,而攻击者可以自定义该值。

TCP三次握手原理:

反射攻击示意图:

用户被充做反射器:

研究人员分析发现大多数目标网络可能并不会响应这些伪造的请求。而且攻击带来的影响很大,并不仅仅是目标受害者受到了影响,目标受害者需要应对TCP洪泛流量,而一些随机选择的反射器包括一些小型企业和普通家庭,反射器也需要处理伪造的请求和来自攻击目标的合法响应消息。

完整报告参见:https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attacks/

本文翻译自:https://threatpost.com/massive-ddos-amazon-telecom-infrastructure/150096/​如若转载,请注明原文地址: https://www.4hou.com/info/news/21531.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论