Radware研究人员在过去一个月内监测到DDOS攻击活动频率增加,受害者包括许多大公司,具体有亚马逊、IBM子公司SoftLayer、Eurobet Italia SRL、韩国电信、HZ Hosting和SK Broadband。
10月份,研究人员发现大量看似来自合法源的TCP SYN请求,这表明这是一起正在进行的黑名单期盼或反射性DDoS攻击活动。10月有一个重大的事件就是Eurobet网络被攻击,由于twitter上有一条要求支付价值8万美金的比特币的推文,因此研究人员最初怀疑Eurobet遭遇了勒索DoS(RDoS)攻击。
图1 — @ItDdos要求支付8万美元的比特币来停止RDoS攻击
针对Eurobet的攻击持续了数天,以至于许多小企业也开始认为自己回是SYN洪泛攻击的目标。
图 3 — 来自Eurobet 地址空间的包总数– 2019年10月
10月底,另一波DDoS攻击来袭,攻击目标是土耳其的金融和电信行业。在24小时内,来自7000个不同源IP的上百万TCP-SYN包攻击了22,25,53,80和443端口。这些端口对应的服务分别是22 SSH服务,25 SMTP, 53 DNS,80 HTTP,139 NetBIOS, 443 HTTPS, 445 SMB和3389 RDP。
30天内,Radware发现了大量滥用TCP实现针对大公司进行TCP反射攻击的犯罪活动。这些攻击不仅影响被攻击的目标网络,还破坏了全球范围内的反射网络。
研究人员分析发现最近的攻击活动中使用的TCP攻击的类型为TCP SYN-ACK反射攻击。在该攻击中,攻击者发送含有伪造的源IP地址的伪造SYN包到随机或预先选择的反射IP地址。然后反射地址就会回复SYN-ACK包到欺骗攻击中的受害者。如果受害者不响应,反射服务就会继续重新传输SYN-ACK包,造成放大的结果。放大的数量(倍数)与反射服务重传的SYN-ACK的数量有关,而攻击者可以自定义该值。
TCP三次握手原理:
反射攻击示意图:
用户被充做反射器:
研究人员分析发现大多数目标网络可能并不会响应这些伪造的请求。而且攻击带来的影响很大,并不仅仅是目标受害者受到了影响,目标受害者需要应对TCP洪泛流量,而一些随机选择的反射器包括一些小型企业和普通家庭,反射器也需要处理伪造的请求和来自攻击目标的合法响应消息。
完整报告参见:https://blog.radware.com/security/2019/11/threat-alert-tcp-reflection-attacks/