我們常聽說UDP反射攻擊，那你聽說過TCP反射攻擊嗎?

我們對TCP三次握手諳熟于心，但你確定服務(wù)器收到SYN包之后一定返回SYN/ACK嗎?

現(xiàn)網(wǎng)的DDoS對抗中，基于TCP協(xié)議的反射攻擊手法已經(jīng)悄然興起，而且出現(xiàn)了多次手法變種，對DDoS防護(hù)方帶來嚴(yán)峻的挑戰(zhàn)。新場景下的技術(shù)對抗如約而至。

??

[[265002]]

0×00 引言

今天分享的是一種新型的攻擊手法 ——TCP反射攻擊：黑客偽造目的服務(wù)器IP向公網(wǎng)的TCP服務(wù)器發(fā)起連接請求(SYN)，以使得被攻擊服務(wù)器收到大量SYN/ACK報文，最終造成拒絕服務(wù)的手法。而由于這種反射攻擊存在協(xié)議棧行為，傳統(tǒng)的TCP防護(hù)算法難以湊效，這也使得這種攻擊手法有愈演愈烈之勢。

經(jīng)過我們團(tuán)隊研究人員長期的跟蹤分析，發(fā)現(xiàn)這種攻擊手法出現(xiàn)了兩個新的特征：

黑客逐漸趨向利用CDN廠商的服務(wù)器資源發(fā)起TCP發(fā)射攻擊，因為通過掃描CDN廠商網(wǎng)段，可以快速、高效地獲得豐富的TCP服務(wù)器資源;

TCP反射攻擊流量從SYN/ACK轉(zhuǎn)變成ACK，防護(hù)難度進(jìn)一步增大。

0×01 TCP反射的新特征研究

特征一：黑客逐漸趨向于利用CDN廠商的服務(wù)器資源發(fā)起TCP發(fā)射攻擊

我們在整理分析現(xiàn)網(wǎng)的TCP反射攻擊時，發(fā)現(xiàn)會經(jīng)常出現(xiàn)攻擊源幾乎全部來源海外CDN廠商的情況。如圖2、圖3所示，某次TCP反射攻擊事件中有99.88%的IP來源美國，而且88.39%屬于某個著名CDN廠商。

顯而易見這是黑客開始傾向于掃描CDN廠商的IP網(wǎng)段，以獲取大批量反射源的思路。由于CDN廠商的IP資源主要用于為用戶提供加速服務(wù)，不可避免地會開放TCP端口，黑客便可以通過這種方式快速地獲取到有效的TCP反射源。例如筆者隨機(jī)探測一個CDN廠商的C段IP，結(jié)果為：整個C段所有IP全部均有開放TCP端口 。

這種方法為黑客提供大量可用的TCP反射源，能夠讓攻擊者的資源實現(xiàn)最大化，而且TCP反射攻擊由于具備協(xié)議棧行為，傳統(tǒng)策略難以防護(hù)，所以不難推測后面這種攻擊手法將越來越盛行，為DDoS防護(hù)方帶來不小的挑戰(zhàn)。

特征二：反射流量從SYN/ACK報文轉(zhuǎn)變?yōu)锳CK報文，防護(hù)難度進(jìn)一步增大

這里給人的第一反應(yīng)可能就是顛覆了我們TCP三次握手的印象，一個服務(wù)器(反射源)收到一個SYN請求，不應(yīng)該是返回SYN/ACK嗎?怎么會返回ACK包?為了解答這個問題，容筆者從黑客偽造SYN請求的過程說起…

首先如上文描述TCP反射的原理，黑客會控制肉雞偽造成被攻擊服務(wù)器的IP對公網(wǎng)的TCP服務(wù)器發(fā)起SYN請求，而公網(wǎng)TCP服務(wù)器的端口都是固定的，所以為了實現(xiàn)反射，SYN請求中的目的端口也同樣固定。與此同時，為了達(dá)到更好的攻擊效果，黑客需要使反射出來的報文的目的端口為被攻擊服務(wù)器的業(yè)務(wù)端口(繞過安全設(shè)備將非業(yè)務(wù)端口的流量直接攔截的策略)，也就是說SYN請求報文中的源端口也是固定的。就是基于這些原因，攻擊者偽造SYN請求報文的五元組通常都會出現(xiàn)集聚 ，這個結(jié)論其實很重要，因為它就是引發(fā)服務(wù)器反彈ACK的前提條件。

舉例如圖5所示：黑客需要攻擊的服務(wù)器IP為183.*.*.45，其業(yè)務(wù)端口為80，而黑客掌握的TCP反射服務(wù)器的IP是104.*.*.35，開放的端口是8080，那么攻擊時構(gòu)造SYN包的五元組就會集聚在Protocol: TCP、DST_IP: 104.*.*.35、SRC_IP: 183.*.*.45、DST_PORT: 8080、SRC_PORT: 80。

而我們都知道五元組決定了一個會話，所以當(dāng)黑客短時時間構(gòu)造大量相同五元組的SYN包發(fā)送到同一臺TCP服務(wù)器時，就會造成大量的“會話沖突”。也就是說從TCP服務(wù)器的角度來看，接收到第一個SYN包后，服務(wù)器返回SYN/ACK等待ACK以建立TCP連接，而此時又再接收到同一個會話的SYN。那TCP服務(wù)器會怎么處理呢?再次返回SYN/ACK?RST?還是其他?

其實在這個情況下，TCP服務(wù)器具體怎么處理決定因素在于SYN包的seq號和服務(wù)器的window size!假設(shè)第一個SYN包的seq號為SEQ1，TCP服務(wù)器的windows size為WND，而第二個SYN的seq號為SEQ2，那么：

一、如果SEQ2==SEQ1，此時TCP服務(wù)器會認(rèn)為這個是SYN包重傳，則再次返回SYN/ACK(其實是在重傳SYN/ACK)，如圖6所示。這個攻擊場景從被攻擊服務(wù)器的視角來看，就是在短時間內(nèi)接收到大量的SYN/ACK報文，造成拒絕服務(wù)，這也是現(xiàn)網(wǎng)最為常見的場景之一。

二、如果SEQ2>SEQ1+WND或者SEQ2

圖7 RFC: 793 page69

所以當(dāng)黑客偽造SYN報文的SEQ隨機(jī)變化時，就很容易命中上述情況，TCP服務(wù)器就會返回ACK報文，如圖8、圖9所示。

圖8 TCP反射，反彈ACK場景(SEQ2>SEQ1+WND)

圖9 TCP反射，反彈ACK場景(SEQ2

這個場景中，被攻擊服務(wù)器會接收到少量SYN/ACK以及大量的ACK報文，這是現(xiàn)網(wǎng)最越來越常見的場景。如圖10為現(xiàn)網(wǎng)中一次真實TCP反射攻擊的抓包采樣，表面上看跟普通的ACKFLOOD攻擊沒有太大區(qū)別，而實際上這些流量是具有協(xié)議棧行為，所以傳統(tǒng)策略難以有效防護(hù)。

圖10 現(xiàn)網(wǎng)TCP反射攻擊采樣

三、如果SEQ1

圖11 TCP反射，反彈RST場景

綜上所述，黑客為了實現(xiàn)TCP反射攻擊，而且盡可能繞過防護(hù)策略，所以偽造的SYN報文的五元組會出現(xiàn)集聚，造成嚴(yán)重的會話沖突。而不同的SEQ號會觸發(fā)TCP服務(wù)器不同的應(yīng)答場景(情況匯總見圖12)，所以現(xiàn)網(wǎng)中的TCP反射除了會出現(xiàn)大量的SYN/ACK流量以外，還有可能出現(xiàn)少量SYN/ACK+大量ACK的混合流量，而且后者的流量成份更為復(fù)雜，防護(hù)難度更大。

0×02 新型的 TCP 反射防護(hù)算法

筆者整理總結(jié)了TCP反射防護(hù)的主要難點：

1、TCP反射流量具有協(xié)議棧行為，傳統(tǒng)的防護(hù)算法難以識別和防護(hù);

2、專業(yè)的抗D設(shè)備通常旁路部署，所以無法獲得服務(wù)器出流量，這也意味著無法通過雙向會話檢查的方式進(jìn)行防護(hù);

3、TCP反射通常為SYN/ACK和ACK的混合流量，而且在成份占比和行為上跟正常業(yè)務(wù)流量幾乎沒有太大區(qū)別，所以傳統(tǒng)的成份分析、限速等方式也難以湊效。