【DDoS】记一次利用内网资源的TCP反射型攻击

引言

近期，华为云安全AntiDDoS团队遇到了一次针对某游戏业务的混合DDoS攻击，在这次攻击中，黑客除了普通的流量型攻击外，通过攻击分析和复盘，我们发现还混合了精细构造的利用内网IP资源的TCP反射型攻击，现网极其少见；我们认为这是一种新的攻击思路，值得探讨，提高大家警惕。

组网topology

如上图，在IDC内存在大量的服务器和IP地址，黑客通过扫描获取得到IDC网段IP以及存活的服务器IP列表，然后构造TCP攻击报文发往这些服务器IP（源IP：PORT构造成攻击目标的），这样做，能达到：

1、绕过DDoS防护设备：

     DDoS设备一般是根据防护的目标进行动态引流清洗回注，而此种报文，其目标只是IDC内普通的IP，并不在防护目标范围内，因此这种流量不会经过DDoS清洗设备而是直接进入到IDC内部

2、反射攻击的报文（比如针对SYN报文的RST回应报文）会在IDC内部直接发往目标服务器，造成目标瘫痪。

实际攻击分析

攻击发生时，我们在Router上进行抓包，如下图：

这里，183.x.x.195就是被攻击的目标IP，但这里抓包是源IP，也就是黑客伪造目标IP当做反射攻击报文的源IP；

同时183.x.x.x其他地址均为跟攻击目标IP在同一个IDC的IP，当做反射服务器所用。

当然，攻击是混合型的，除了其他类型的攻击外，我们抓到利用此种内网放射源的攻击报文量在2G左右，由于是小包（74字节）而且所有此种类型报文均绕过了DDoS设备，所以目标服务器183.x.x.195的负荷量非常大，造成瘫痪。

防御措施思考

针对此种新型攻击，可以提供的防御思路：

1、利用路由器的urpf进行防御，但目前路由器不可控而且运营商ISP均有各自的小九九，所以开不开urpf不一定

2、将IDC内所有IP/段均加入到DDoS防护设备的防护网段内，但DDoS防护设备性能有限，而且针对目标服务器IP的防护多数属于IDC的增值服务，不会将所有网段均加入进来；而且即使加进来，由于反射攻击报文是离散到N多个IP的，对单一IP的防御阈值可能在DDoS设备上完全达不到起始阈值

上述防御措施如果能够用上，那自然是极好的。

BTW：如果还有其他的防御措施，期待大神支招。