DDoS攻击是目前较为常见的一种网络攻击手段,DDoS攻击类型主要分为以下几种:TCP洪水攻击、反射性攻击、CC攻击(HTTP Flood)、僵尸网络等,本次我们主要讲解的是反射型DDOS攻击。
反射型DDoS攻击是DDoS攻击中的一种,与常规的DDoS攻击方式,靠攻击者用僵尸网络堆起来的大流量来发动的攻击不同,它擅长用以小博大的方式发动攻击,其攻击的重点在于反射与放大。
# 反射 #
我们需要一个中间介质将攻击者发送的网络数据包反射给受害者,如DNS服务、NTP服务、SSDP服务、Memcached等,而这种中间介质可以是互联网上任何服务器任何端口的任何协议,只要这种协议有请求有响应,用此方法,需要对某些可以达到反射效果的网络协议有个清晰的认识,并能够找到破绽为我所用。
正常的请求发送过去后,响应会直接沿原路返回,如图所示
反射会将攻击者A发送的网络数据包通过中间介质B,反射给受害者C,即请求的源IP会修改为受害者C的IP,响应就会发送给受害者,如图所示
当然攻击者不会只发送给一个中间介质,否则形成不了DDoS,于是就有了下图
# 放大 #
要成功形成一个反射型DDoS攻击,还需要中间介质达成的流量放大效果,如果响应包和请求包相比,流量基本不变,或只是稍微大一点,这种反射DDoS的效果不会比单纯流量堆叠的DDoS效果要好,所以攻击者往往会选择一个可以通过接收较小流量,来产生一个大得多的流量的中间介质,来获得几倍甚至几百倍的放大效果,最新的memcache放大效果甚至达到了万倍,被称为DDoS核弹攻击,通过发送1M的流量触发memcache放大效果,将会接收到10G的流量,这对某些流量计费的VPS服务器可以说是打击巨大。
反射和放大组合起来使用,攻击者A可以通过非常小的流量请求,来形成非常大的DDoS流量,对受害者C进行攻击。
反射型DDoS攻击方式隐秘,难以逆向追踪,无需控制中间介质,且无需攻击者A自身有着多大的带宽资源,即可发动一次极具破坏力的攻击。
# DDOS防护方案 #
华清信安TDR采用了自主研发的DDos流量清洗模块与DDos高防模块来共同抵御DDos攻击。
DDos流量清洗模块可以为TDR提供多层次的DDos防护功能,同时具有攻击实时告警通知功能,畸形包、探测包过滤功能,能够及时发现并清洗异常DDos攻击流量,并且可以生成监控报表,记录清洗情况与安全状况,流量清洗可以提升客户带宽利用率,确保用户业务稳定运行。
DDos高防模块对网络型、Web应用、反射型DDos攻击有着良好的防护、清洗效果,同时支持WAF功能与CC攻击防护,海量带宽具有单用户20G级别的防御能力,对常见的WEB攻击也有着良好的阻断效果,为客户业务稳定、可靠的运行保驾护航。
华清信安TDR目前已广泛应用于在线教育,医疗行业,金融行业,政府部门等多个政企单位,并得到了客户的一致认可。
作者
梁俊杰
华清信安
网络安全枢密院
识别二维码关注我们
安全赋能-让安全更简单
