Radware的研究人员警告说,在过去30天中,一波TCP SYN-ACK DDoS反射攻击浪潮袭击了Amazon,SoftLayer和电信基础设施。
“在过去30天中,Radware观察到许多犯罪活动,它们通过对大型公司进行TCP反射攻击来滥用TCP实施。”阅读Radware发表的分析。“这些攻击不仅影响了目标网络,而且还破坏了全球的反射网络,造成了许多企业怀疑SYN洪水攻击的后果。”
在TCP SYN-ACK反射攻击中,攻击者将欺骗的SYN数据包发送到各种随机或预选的反射IP地址。欺骗的封隔器将原始源IP替换为目标IP地址,反射IP地址上的系统以SYN-ACK数据包答复目标,但是典型的三向握手可能会假设要传递单个SYN-ACK数据包对于受害者,当受害者没有用最后一个ACK数据包响应时,反射服务将继续重传SYN-ACK数据包。这种机制可以放大DDoS攻击。
放大系数 要看在反射IP地址上运行的服务对SYN-ACK进行重传的次数。一项独立 研究 发现,超过480万台设备的平均放大倍数高达112倍,数以千计的主机可能被滥用,放大倍数高达80,000倍,这对于攻击者而言是惊人的火力。
专家观察到,针对Amazon,SoftLayer,Eurobet Italia SRL,Korea Telecom,HZ Hosting和SK Broadband等许多公司的TCP反射DDoS攻击进行了几次攻击。
新的重大攻击浪潮始于10月,当时重大DDoS攻击使在线体育博彩网站Eurobet的意大利分支机构的网络瘫痪。攻击持续了几天,也影响了其他投注网络。
来自Garanti BBVA IP范围的数据包计数– 2019年10月(Radware报告)
10月底,Radware观察到其他针对意大利,韩国和土耳其的金融和电信行业发起TCP反射DDoS攻击的犯罪活动。
分析继续说:“由于攻击媒介之一的反射性,安全团体注意到了这种攻击,” “在24小时内,来自[土耳其提供商的基础设施] Garanti Bilisim Teknolojisi ve Ticaret TR.AS的近7,000个不同源IP地址的数百万个TCP-SYN数据包是 全局感知,并特别针对端口22、25、53、80和443。”
专家们说,这场运动始于2018年,针对的是大型和资源丰富的公司,以及小型企业和房主。专家指出,未为TCP流量激增做好准备的组织会遭受二次中断,“ SYN泛滥是一种可察觉的副作用。通过 附带受害者。”
最近的TCP反射攻击浪潮中涉及的大多数反射IP地址都属于Internet IPv4地址空间。
“这意味着最近的攻击者(如图13所示)使用伪造的SYN数据包的快速速率发送到广泛的IPv4地址空间,并且其欺骗源来自子网中托管的bot或服务器,以及未实施BCP的提供商第38页,以防止其服务器或网络上的IP源地址欺骗。” “欺骗来源在 这些攻击是预期目标的整个网络范围,只要没有收到RST数据包,目标反射器就会在地毯式轰炸攻击中重传SYN-ACK数据包。”