Radware的研究人员警告说，在过去30天中，一波TCP SYN-ACK DDoS反射攻击浪潮袭击了Amazon，SoftLayer和电信基础设施。

“在过去30天中，Radware观察到许多犯罪活动，它们通过对大型公司进行TCP反射攻击来滥用TCP实施。”阅读Radware发表的分析。“这些攻击不仅影响了目标网络，而且还破坏了全球的反射网络，造成了许多企业怀疑SYN洪水攻击的后果。”

在TCP SYN-ACK反射攻击中，攻击者将欺骗的SYN数据包发送到各种随机或预选的反射IP地址。欺骗的封隔器将原始源IP替换为目标IP地址，反射IP地址上的系统以SYN-ACK数据包答复目标，但是典型的三向握手可能会假设要传递单个SYN-ACK数据包对于受害者，当受害者没有用最后一个ACK数据包响应时，反射服务将继续重传SYN-ACK数据包。这种机制可以放大DDoS攻击。

放大系数 要看在反射IP地址上运行的服务对SYN-ACK进行重传的次数。一项独立 研究 发现，超过480万台设备的平均放大倍数高达112倍，数以千计的主机可能被滥用，放大倍数高达80,000倍，这对于攻击者而言是惊人的火力。

专家观察到，针对Amazon，SoftLayer，Eurobet Italia SRL，Korea Telecom，HZ Hosting和SK Broadband等许多公司的TCP反射DDoS攻击进行了几次攻击。

新的重大攻击浪潮始于10月，当时重大DDoS攻击使在线体育博彩网站Eurobet的意大利分支机构的网络瘫痪。攻击持续了几天，也影响了其他投注网络。

来自Garanti BBVA IP范围的数据包计数– 2019年10月（Radware报告）

10月底，Radware观察到其他针对意大利，韩国和土耳其的金融和电信行业发起TCP反射DDoS攻击的犯罪活动。

分析继续说：“由于攻击媒介之一的反射性，安全团体注意到了这种攻击，” “在24小时内，来自[土耳其提供商的基础设施] Garanti Bilisim Teknolojisi ve Ticaret TR.AS的近7,000个不同源IP地址的数百万个TCP-SYN数据包是 全局感知，并特别针对端口22、25、53、80和443。”

专家们说，这场运动始于2018年，针对的是大型和资源丰富的公司，以及小型企业和房主。专家指出，未为TCP流量激增做好准备的组织会遭受二次中断，“ SYN泛滥是一种可察觉的副作用。通过 附带受害者。”

最近的TCP反射攻击浪潮中涉及的大多数反射IP地址都属于Internet IPv4地址空间。

“这意味着最近的攻击者（如图13所示）使用伪造的SYN数据包的快速速率发送到广泛的IPv4地址空间，并且其欺骗源来自子网中托管的bot或服务器，以及未实施BCP的提供商第38页，以防止其服务器或网络上的IP源地址欺骗。” “欺骗来源在 这些攻击是预期目标的整个网络范围，只要没有收到RST数据包，目标反射器就会在地毯式轰炸攻击中重传SYN-ACK数据包。”