TCP SYN-ACK 反射DDoS攻击活动分析

Radware研究人员在过去一个月内监测到DDOS攻击活动频率增加，受害者包括许多大公司，具体有亚马逊、IBM子公司SoftLayer、Eurobet Italia SRL、韩国电信、HZ Hosting和SK Broadband。

10月份，研究人员发现大量看似来自合法源的TCP SYN请求，这表明这是一起正在进行的黑名单期盼或反射性DDoS攻击活动。10月有一个重大的事件就是Eurobet网络被攻击，由于twitter上有一条要求支付价值8万美金的比特币的推文，因此研究人员最初怀疑Eurobet遭遇了勒索DoS（RDoS）攻击。

图1 — @ItDdos要求支付8万美元的比特币来停止RDoS攻击

针对Eurobet的攻击持续了数天，以至于许多小企业也开始认为自己回是SYN洪泛攻击的目标。

图 3 — 来自Eurobet 地址空间的包总数– 2019年10月

10月底，另一波DDoS攻击来袭，攻击目标是土耳其的金融和电信行业。在24小时内，来自7000个不同源IP的上百万TCP-SYN包攻击了22，25，53，80和443端口。这些端口对应的服务分别是22 SSH服务，25 SMTP， 53 DNS，80 HTTP，139 NetBIOS, 443 HTTPS, 445 SMB和3389 RDP。

30天内，Radware发现了大量滥用TCP实现针对大公司进行TCP反射攻击的犯罪活动。这些攻击不仅影响被攻击的目标网络，还破坏了全球范围内的反射网络。

研究人员分析发现最近的攻击活动中使用的TCP攻击的类型为TCP SYN-ACK反射攻击。在该攻击中，攻击者发送含有伪造的源IP地址的伪造SYN包到随机或预先选择的反射IP地址。然后反射地址就会回复SYN-ACK包到欺骗攻击中的受害者。如果受害者不响应，反射服务就会继续重新传输SYN-ACK包，造成放大的结果。放大的数量（倍数）与反射服务重传的SYN-ACK的数量有关，而攻击者可以自定义该值。

TCP三次握手原理：

反射攻击示意图：

用户被充做反射器：

研究人员分析发现大多数目标网络可能并不会响应这些伪造的请求。而且攻击带来的影响很大，并不仅仅是目标受害者受到了影响，目标受害者需要应对TCP洪泛流量，而一些随机选择的反射器包括一些小型企业和普通家庭，反射器也需要处理伪造的请求和来自攻击目标的合法响应消息。

完整报告参见：https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attacks/