0x00 背景
TCP反射攻击是在现网的DDoS攻防对抗中,逐渐兴起的一种新型攻击方式。攻击者伪造源IP地址为被攻击目标的IP地址向公网上大量的TCP服务器(通常是CDN、WEB站点等)发送连接请求(SYN报文),这些被利用的TCP反射服务器在收到大量的连接报文后,会向被攻击目标响应大量的数据包,这些反射数据包的类型通常包括SYN-ACK、ACK、和RST-ACK,由于这些攻击流量通常混杂着正常业务流量,并且存在协议栈行为,导致传统的DDoS防御系统很难防御,因而使得这种攻击方式近年来呈现出不断上升的趋势。
百度智云盾系统针对TCP反射攻击进行跟踪,分析发现攻击频率近几年呈现出明显上升的趋势,反射攻击手法也在不断变化,攻击流量从最常见的单一SYN-ACK,发展成由SYN-ACK、ACK和RST-ACK报文混合组成。根据监测的数据显示,混合型TCP反射已经成为了继SSDP、NTP反射之后最为流行的攻击方式。百度智云盾系统在与TCP反射攻击的长期攻防对抗中,制定出一套TCP反射防御算法,能够2s内识别攻击,实时对流量进行隔离和清洗,保障用户与公司免遭此类攻击的伤害。
0x01 反射原理
1)标准反射流
众所周知,TCP的三次握手,服务端在接受到客户端的SYN报文后,会响应SYN-ACK报文,并开启一个半连接放入队列。如果此时服务端短时间内收到多个相同五元组的SYN报文,就会在服务端造成会话冲突,此时不同服务器的处理方式不同。
标准的TCP协议栈在遇到会话冲突的情况时,会响应出SYN-ACK、ACK和RST-ACK报文,服务端在第一次收到SYN报文后,会回复一个SYN-ACK报文,后续针对同一五元组过来的SYN报文,则会与当前数据包的seq号SEQ2、第一次收到的seq号SEQ1以及服务端的window size有关。通常包含以下几种情况:
两次seq号相同:SEQ1=SEQ2 。
此时服务器判定这个SYN包是客户端重传,会再次响应seq号不同的SYN-ACK,也就是通常所说的重传SYN-ACK,这也是前些年网络上最为流行的SYN-ACK反射攻击。下图展示了我们使用linux系统多次发送seq号相同的SYN报文,测试反射出SYN-ACK的场景:
图1 反射SYN-ACK报文(测试)
SEQ2在window size之内:即SEQ2大于SEQ1,且小于等于SEQ1+ windows size。
此时服务器响应报文比较特殊,呈现出首次SYN报文响应RST-ACK报文,这也是现网流量里存在较多的一类攻击流量,下图展示了我们使用linux系统发送seq号处于windows size之内,服务器响应RST-ACK的场景:
图2 反射RST-ACK报文(测试)
SEQ2在windows size之外:即SEQ2小于SEQ1,或者SEQ2大于SEQ1+ windows size。
此时服务器会响应ACK报文,这也是当前遇到的最常见的攻击流量,下图展示了我们我们使用linux系统发送seq号按照5递减的SYN请求报文,测试反射ACK报文的场景:
图3 反射ACK报文(测试)
标准的TCP反射流量呈现,如下图所示:
图4 标准的TCP反射流
在攻防对抗过程中,我们发现攻击流量呈现出以ACK流量为主,SYN-ACK流量次之,以及少量的RST-ACK报文,这也符合黑客的攻击思路:攻击以随机seq的SYN报文短时间发送到TCP反射服务器,随机seq号的方式非常容易命中不在windows size的区域,导致反射服务器响应大量的ACK报文。下列三图展示了我们在现网中捕获的真实反射流量。
图5 真实的TCP反射攻击流量(现网)
以上均展示了端口开放时,标准的TCP协议栈处理连接请求时的响应的报文特征,那么端口关闭时,会响应什么呢?不同的系统处理不同,linux内核的TCP协议栈会响应RST-ACK报文。下图展示了我们在关闭TCP1000端口后服务器的响应报文。
图6 关闭端口后的反射(RST-ACK)报文(测试)
2)其他反射流
SYNCookie
在深入研究TCP反射攻击时,我们发现SYN Cookie机制会影响反射报文的特征。SYN Cookie机制是防护SYN Flood攻击一种技术手段,我们都知道SYN Flood攻击能够成立的前提关键在于服务器资源是有限的,由于服务器在收到SYN请求后会分配资源保存此次请求的关键信息,其中包括(五元组、TCP选项信息),这会占据服务器有限的系统资源,SYN Cookie机制可以让服务器在收到客户端的SYN报文时,将客户端信息保存在SYN-ACK的初始序号和时间戳中,不消耗系统资源保存客户端信息,从而SYN Flood。
简单来说,开启SYN Cookie的服务器在收到SYN报文后,会根据当前五元组信息和TCP选项信息(时间戳、最大报文长度MSS)来计算出响应的SYN-ACK报文的seq号。正常的客户端收到SYN-ACK报文后会回复ACK报文,服务器根据ack确认号解析出之前计算的seq号,从而验证ACK报文的合法性。所以开启SYN Cookie的服务器均会响应seq号不同的SYN-ACK报文。
攻击者在利用开启SYN Cookie的TCP反射服务器时,服务器所发出的反射报文均为SYN-ACK报文,但是seq号与标准TCP反射流呈现出的特征不同,这与具体服务器的SYN Cookie实现机制有关系,这里不做过多介绍。
我们选取一台机器开启SYNCookie配置:
图7 开启SYNCookie
下图展示了我们我们使用linux系统测试的开启SYN Cookie的服务器响应的SYN-ACK报文:
图8 开启SYN Cookie的反射报文(测试)
3)其他类型服务器
Windows服务器在处理SYN报文时与linux有许多不同,我们使用Windows server2016,TCP开放端口为3389,进行反射测试分析,下面是三种情况收到的数据包类型。
SEQ2=SEQ1,windows服务器与linux服务器一样,响应seq号不同的SYN-ACK报文:
图9 windows server响应SYN-ACK(测试)
SEQ2<SEQ1,或者大于SEQ1与windwos size之和,会直接响应SYN-ACK报文:
图10 window server响应SYN-ACK(测试)
SEQ2>SEQ1,并且小于SEQ1与windows size之和,服务器会在响应SYN-ACK后,不再响应任何报文:
图11 服务器只响应一次SYN-ACK报文(测试)
端口关闭时,windwos server与linux一样响应RST-ACK报文:
图12 关闭端口后windows server响应SYN-ACK报文(测试)
其他服务器:SUSE、Debian、Ubuntu等,如有兴趣,可以自行进行测试分析,这里不深入展开。
注:目前智云盾蜜罐系统已经长期被黑客利用进行TCP反射攻击,采样得到了大量的攻击踪影。
0x02 反射资源分析
1)捕获数据
从近几年来跟踪分析的反射资源来看,攻击者倾向于使用的反射源端口最常见于21、22、23、80、443、1900、8080等常用的TCP端口,目的端口通常为被攻击目标的业务端口,比如:80、443、8080等。
我们对采集到的反射源端口进行分类,下图展示了反射源端口占比图:
图13 反射源端口占比
从反射源IP的属地信息来看,攻击来源几乎全部来自于国内,国内源IP占比超过98%,反射源IP国家分布如下:
图14 反射源归属地分布
智云盾系统多次捕获的攻击时发现,攻击者使用的反射源端口呈现出特殊的组合方式,比如1900端口通常与53、7547、1737组合攻击。
2)全网数据
由于常见的TCP端口数据量非常之多,我们仅抽取了最常见的80端口在zoomeye查询,数据量之大引人深思。
图15 zoomeye全网数据(80端口)
0x03 防御措施
TCP反射与传统的UDP反射相比,其反射流量特征较为复杂,攻击流量来自于真实IP,而且具有协议栈行为,传统的DDoS防护系统往往容易将现网的TCP反射带来的ACK流量识别为Flood攻击。TCP反射攻击的防护难点:
反射流量来自于真实IP,流量通常混杂着真实的业务流量
反射资源丰富,公网上开放了大量的TCP服务器,主要来自于CDN、WEB站点
流量类型通常包含SYN-ACK、ACK和RST-ACK,难以防护
传统的DDoS防护系统,无法通过双向会话检查进行防护
0x04 结尾
当前新冠疫情已经蔓延到世界各个角落,病例遍及219个国家和地区。对比疫情形势,全球地缘政治格局也在发生动荡,可以猜想网络空间冲突亦会愈演愈烈。攻击者在不断寻找防护方的弱点,防护方也需要不断研究黑客思维,提升防护能力。中国一直以来都是网络攻击最大的受害国,如此流行的TCP反射攻击将会扮演举足轻重的角色。
智云盾团队介绍
百度智云盾是百度安全专注在互联网基础设施网络安全攻防的团队,提供T级云防、定制端防和运营商联防等DDoS/CC防御解决方案。一直服务于搜索、贴吧、地图、云等百度业务,在保障百度全场景业务之余也进行防御能力外部输出,为互联网客户提供一体化的防御服务。