新的DDoS攻击手法来袭：TCP反射攻击技术分析(2)

这个场景中，被攻击服务器会接收到少量SYN/ACK以及大量的ACK报文，这是现网最越来越常见的场景。如图10为现网中一次真实TCP反射攻击的抓包采样，表面上看跟普通的ACKFLOOD攻击没有太大区别，而实际上这些流量是具有协议栈行为，所以传统策略难以有效防护。

图10 现网TCP反射攻击采样

三、如果SEQ1

图11 TCP反射，反弹RST场景

综上所述，黑客为了实现TCP反射攻击，而且尽可能绕过防护策略，所以伪造的SYN报文的五元组会出现集聚，造成严重的会话冲突。而不同的SEQ号会触发TCP服务器不同的应答场景(情况汇总见图12)，所以现网中的TCP反射除了会出现大量的SYN/ACK流量以外，还有可能出现少量SYN/ACK+大量ACK的混合流量，而且后者的流量成份更为复杂，防护难度更大。

0×02 新型的 TCP 反射防护算法

笔者整理总结了TCP反射防护的主要难点：

1、TCP反射流量具有协议栈行为，传统的防护算法难以识别和防护;

2、专业的抗D设备通常旁路部署，所以无法获得服务器出流量，这也意味着无法通过双向会话检查的方式进行防护;

3、TCP反射通常为SYN/ACK和ACK的混合流量，而且在成份占比和行为上跟正常业务流量几乎没有太大区别，所以传统的成份分析、限速等方式也难以凑效。

（编辑：ASP站长网）