转自security affairs,作者Pierluigi Paganini,蓝色摩卡译
Radware的研究人员报告说,上个月,大规模的TCP SYN-ACK DDoS反射攻击袭击了Amazon,SoftLayer和电信基础设施。
Radware的研究人员警告说,在过去30天中,一波TCP SYN-ACK DDoS反射攻击浪潮袭击了Amazon,SoftLayer和电信基础设施。
“在过去30天中,Radware观察到许多犯罪活动,它们通过对大型公司进行TCP反射攻击来滥用TCP实施。”阅读Radware发表的分析。
“这些攻击不仅影响了目标网络,而且还破坏了全球的反射网络,造成了许多企业怀疑SYN洪水攻击的后果。”
在TCP SYN-ACK反射攻击中,攻击者将欺骗的SYN数据包发送到各种随机或预选的反射IP地址。
欺骗的封隔器将原始源IP替换为目标IP地址,反射IP地址上的系统以SYN-ACK数据包答复目标,但是典型的三向握手可能会假设要传递单个SYN-ACK数据包对于受害者,
当受害者没有用最后一个ACK数据包响应时,反射服务将继续重传SYN-ACK数据包。这种机制可以放大DDoS攻击。
放大系数 要看在反射IP地址上运行的服务对SYN-ACK进行重传的次数。研究发现,超过480万台设备的平均放大倍数高达112倍,数以千计的主机可能被滥用,放大倍数高达80,000倍,这对于攻击者而言是惊人的火力。
专家观察到,针对Amazon,SoftLayer,Eurobet Italia SRL,Korea Telecom,HZ Hosting和SK Broadband等许多公司的TCP反射DDoS攻击进行了几次攻击。
新的重大攻击浪潮始于10月,当时重大DDoS攻击使在线体育博彩网站Eurobet的意大利分支机构的网络瘫痪。攻击持续了几天,也影响了其他投注网络。
来自Garanti BBVA IP范围的数据包计数– 2019年10月(Radware报告)
10月底,Radware观察到其他针对意大利,韩国和土耳其的金融和电信行业发起TCP反射DDoS攻击的犯罪活动。
分析继续说:“由于攻击媒介之一的反射性,安全团体注意到了这种攻击,”
“在24小时内,来自[土耳其提供商的基础设施] Garanti Bilisim Teknolojisi ve Ticaret TR.AS的近7,000个不同源IP地址的数百万个TCP-SYN数据包是 全局感知,并特别针对端口22、25、53、80和443。”
专家们说,这场运动始于2018年,针对的是大型和资源丰富的公司,以及小型企业和房主。专家指出,未为TCP流量激增做好准备的组织会遭受二次中断,“ SYN泛滥是一种可察觉的副作用。通过 附带受害者。”
最近的TCP反射攻击浪潮中涉及的大多数反射IP地址都属于Internet IPv4地址空间。
“这意味着最近的攻击者(如图所示)使用伪造的SYN数据包的快速速率发送到广泛的IPv4地址空间,并且其欺骗源来自子网中托管的bot或服务器,以及未实施BCP的提供商。以防止其服务器或网络上的IP源地址欺骗。”
“欺骗来源在 这些攻击是预期目标的整个网络范围,只要没有收到RST数据包,目标反射器就会在地毯式轰炸攻击中重传SYN-ACK数据包。”
精彩在后面
Hi,我是超级盾
更多干货,可移步到,微信公众号:超级盾订阅号!精彩与您不见不散!
超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势
閱讀更多 超級盾 的文章
