كثيرا ما نسمع الهجمات انعكاس UDP، TCP هل سمعت من هجوم انعكاس؟

نحن TCP ثلاثي المصافحة دراية القلب، ولكن يجب تحديد العائد SYN / ACK بعد تلقى الخادم حزمة SYN ذلك؟

دوس على الشبكة الحالية، استنادا إلى بروتوكول TCP تعكس أساليب الهجوم قد ترتفع بهدوء، ولكن هناك عدد من المتغيرات من الطريق، تشكل تحديات خطيرة لحفل حماية دوس. القتال التكنولوجيا في إطار مشهد جديد للحزب.

0 00 مقدمة

اليوم، تبادل هو نوع جديد من الهجمات انعكاس هجوم --TCP: قراصنة IP وهمية يبادر الملقم الوجهة طلب الاتصال (SYN) إلى شبكة الجمهور الخادم TCP، حتى أن الخادم هاجم يتلقى عددا كبيرا من حزمة SYN / ACK، مما يؤدي في النهاية إلى الحرمان من التكتيكات الخدمة. وبسبب عدم وجود مثل هذا انعكاس السلوك مكدس البروتوكول هجوم، وحماية خوارزمية TCP التقليدية الصعب مثير للسخرية، مما يجعل هذا النوع من الهجمات أصبح أسوأ.

من خلال فريقنا من الباحثين على المدى الطويل تحليل المتابعة، وجدنا أن أساليب الهجوم، كان هناك اثنين من الميزات الجديدة:

قراصنة تميل إلى استخدام الموارد تدريجيا الخادم يبادر CDN بائع هجمات إطلاق TCP لعن طريق مسح CDN قطعة الشبكة بائع، يمكنك بسرعة وكفاءة الوصول إلى ثروة من موارد الخادم TCP.

الانتقال المرور TCP من الهجمات انعكاس SYN / ACK إلى ACK، وصعوبة مزيد من الحماية الزيادات.

خصائص جديدة 0 01 TCP تنعكس

وهناك ميزة: تميل قراصنة على نحو متزايد إلى استخدام CDN بائع من موارد الخادم لبدء الهجمات إطلاق TCP

عندما ننتهي من تحليل الهجمات الحالية انعكاس TCP الشبكة، ووجدت أن الهجوم حالة تقريبا جميع المصادر من الباعة CDN في الخارج سوف تظهر في كثير من الأحيان. كان التين 2 و 3، مما يعكس الهجمات TCP معينة 99.88 في المئة من مصدر أمريكي IP، و88.39 ينتمي إلى بائع CDN المعروفة.

فمن بدأت المتسللين واضحة لتميل لمسح CDN بائع قطعة الشبكة IP، من أجل الحصول على كميات كبيرة من مصادر التفكير العاكسة. لأنه يتم استخدام CDN الموارد IP بائع أساسا لتزويد المستخدمين مع خدمات التسارع، وسوف يفتح حتما منفذ TCP، والقراصنة سوف تكون قادرة على الحصول بسرعة على مصدر انعكاس TCP صالح في هذا الطريق. على سبيل المثال، كشف عشوائيا بائع CDN في الجزء C IP، والنتيجة هي: قطاع C IP كامل كلها فتح كافة المنافذ TCP.

ويوفر هذا النهج عدد كبير من المتاح مصدر انعكاس قراصنة TCP، والسماح للمهاجم لتعظيم الموارد، ومع هجوم انعكاس السلوك مكدس البروتوكول TCP المناسب، الاستراتيجية التقليدية للحماية من الصعب، من الصعب جدا التكهن وراء هذا الهجوم التكتيكات سوف يتزايد أكثر شعبية، فإنه ليس تحديا صغيرة للحزب الحماية دوس.

حيث اثنين: الانتقال من حركة المرور العاكسة SYN / ACK حزمة هو حزمة ACK، المزيد من الزيادات صعوبة حماية

ممكن هنا يعطي أول رد فعل هو تخريب لدينا انطباع TCP ثلاثي المصافحة، الخادم (مصدر التفكير)، طلب SYN، فإنه لا ينبغي أن يكون عودة SYN / ACK ذلك؟ كيف سيعود حزمة ACK؟ للإجابة على هذا السؤال، والسماح للمؤلف مزورة طلب SYN لبدء عملية من المتسللين ...

أولا، مبدأ انعكاس TCP كما هو موضح أعلاه، مزورة هجوم القراصنة السيطرة اللاحم يبادر خادم IP TCP SYN الطلب إلى الشبكة العامة الخادم، يتم إصلاح الشبكة العامة والموانئ الخادم TCP، وذلك من أجل تحقيق انعكاس، طلب SYN ويحدد أيضا وجهة الميناء. في نفس الوقت، من أجل تحقيق أفضل تأثير الهجوم، تعكس احتياجات القراصنة ميناء المقصد من الحزم للهجوم منافذ خدمات الخادم (غير تجارية لرجال الأعمال معدات الأمن تجاوز اعتراض المباشر للسياسة الميناء)، التي حزمة SYN هو ثابت أيضا منفذ مصدر. وبناء على هذه الأسباب، فإن طلب SYN المهاجم مزورة خماسي عادة ما تتجمع تظهر الرسائل، وهذا الاستنتاج هو مهم جدا لأنه هو شرط أساسي لبدء انتعاش الخادم ACK.

على سبيل المثال كما هو مبين في الشكل (5): احتياجات القراصنة لمهاجمة خادم IP 45 * 183 *، وهو منفذ خدمة 80، وينعكس القراصنة ملقم رئيسي IP TCP * 104 * 35، والمنفذ مفتوح ...... 8080، ثم خماسية بنية الهجوم سيتركز SYN الحزمة في البروتوكول: TCP، DST_IP :. 104 * * 35، sRC_IP: .. 183 * * 45، dST_PORT: ... 8080، sRC_PORT: 80.

وعندما نعلم جميعا قرر خماسي على محادثة، وذلك عندما قراصنة باختصار الوقت عدد كبير من البناء متطابقة خماسي SYN حزمة إرسالها إلى الملقم TCP نفسه، فإنه سوف يؤدي إلى الكثير من "الصراع الدورة." وهذا يعني من وجهة نظر الخادم TCP، بعد تلقي حزمة SYN الأولى، يعود الملقم SYN / ACK ACK الانتظار لتأسيس اتصال TCP، ولكن هذه المرة تحصل مرة أخرى SYN الدورة نفسها. الخادم TCP التي ستكون كيفية التعامل معها؟ SYN عودة مرة أخرى / ACK؟ RST؟ أو أي شيء آخر؟

في الواقع، في هذه الحالة، والخادم TCP على وجه التحديد كيفية التعامل مع العامل الحاسم هو حجم نافذة عدد يليها والخادم SYN حزمة! نفترض أن أول SYN حزمة يليها عدد SEQ1 والنوافذ حجم الخادم TCP لWND، في حين أن العدد الثاني من SYN يليها SEQ2، ثم:

أولا، إذا SEQ2 == SEQ1، وهذه الحالة هي أن خادم TCP SYN حزمة إعادة الإرسال، والعودة مرة أخرى SYN / ACK (في الواقع إعادة إرسال SYN / ACK)، كما هو مبين في الشكل. هذا المشهد هجوم من وجهة نظر الخادم هجوم، هي التي تتلقى في وقت قصير على عدد كبير من حزمة SYN / ACK، مما تسبب في رفض الخدمة، واحدة من أكثر السيناريو الشائع هو أن الشبكة الحالية.

ثانيا، إذا SEQ2 > SEQ1 + WND أو SEQ2 < SEQ1، ثم هذا الجزء من خارج النوافذ: لعدم تلقي الحزم ضمن إطار، حاجة لاستعادة ACK، والجانب الآخر ينقل حزمة على عدد SEQ الصحيح، يشار إلى البروتوكول هو موضح في RFC: 793 page69 (انظر الشكل 7). .

FIG 7 RFC: 793 page69

عندما مجموعات المقاومة الاختلافات عشوائي قراصنة SEQ قهوة SYN، فمن السهل أن تصل إلى ما سبق، سيعود الخادم TCP حزمة ACK، 8، 9 هو مبين في الشكل.

ينعكس FIG 8 TCP ترتد المشهد ACK (SEQ2 > SEQ1 + WND)

ينعكس FIG 9 TCP ترتد المشهد ACK (SEQ2 < SEQ1)

في هذا السيناريو، سوف تتلقى الخادم هجوم على كمية صغيرة من SYN / ACK ACK وعدد كبير من الحزم، والتي هي الآن أصبحت شبكة من السيناريو الأكثر شيوعا. الرقم 10 هو عبارة عن شبكة عينة التقاط حزم في الوقت الحقيقي، هجوم انعكاس TCP، على ما يبدو ليس هناك فرق كبير مع الهجوم ACKFLOOD العادي، ولكن في الواقع هذه التدفقات هو سلوك مكدس البروتوكول، فإنه من الصعب للأساليب التقليدية حماية فعالة.

10 FIG الشبكة الحالية الهجمات انعكاس TCP أخذ العينات

3. إذا SEQ1 < SEQ2 < يحدث = SEQ1 + WND، وسوف ينظر هذا السيناريو غير طبيعية جلسة عمل خادم TCP، يفصل الدورة وترجع RST، كما هو مبين في الشكل. في هذا الوقت خادم هاجم سوف يحصل على الكثير من الحركة مزيج SYN / ACK + RST (الشبكة الحالية الآن هذا أمر نادر الحدوث، وصعوبة الحماية RST أصغر، وليس وصفها في التفاصيل هنا).

ينعكس FIG 11 TCP انتعاش مشاهد RST

وباختصار، من أجل تحقيق TCP هجمات القراصنة التفكير، وإلى أقصى حد ممكن لسياسات الحماية الالتفافية، سوف مزورة حتى خماسي حزمة SYN جمع، مما تسبب الصراع محادثة خطيرة. سوف SEQ عدد مختلف من الخادم TCP تؤدي مختلف ردود المشهد (ملخص انظر الشكل 12)، TCP يعكس الشبكة الحالية وبالإضافة إلى عدد كبير من حركة المرور SYN / ACK، قد يكون هناك كمية صغيرة من SYN / ACK ACK و+ كبيرة تدفق المختلط، وهذا الأخير هو تركيبة أكثر تعقيدا من حركة المرور، وحماية أكبر الصعبة.

0 02 الجديدة خوارزمية حماية انعكاس TCP

ويلخص المؤلف الصعوبة الرئيسية الانتهاء TCP حماية ارادي:

1، مكدس البروتوكول TCP جود سلوك تدفق انعكاس وحمايتها وحماية الخوارزميات التقليدية من الصعب الاعتراف.

2، وأجهزة المهنية لمكافحة D وغالبا ما تكون الالتفافية نشر، وبالتالي فإن الخادم لا يمكن الخروج من حركة المرور، وهذا يعني أيضا لا يمكن التحقق من أن الحماية عن طريق من اتجاهين المحادثة.

3، وينعكس TCP عادة SYN / ACK ACK ومزيج من حركة المرور، ولكن أيضا على تكوين وسلوك يتناسب مع حركة المرور العادية هو تقريبا لا فرق كبير، وبالتالي فإن تحليل المكونات التقليدية، الحد الأقصى للسرعة، وما إلى ذلك من الصعب مثير للسخرية.

* الكاتب: عاصفة ثلجية قوية @ تينسنت قسم الأمن منصة، يرجى الإشارة من FreeBuf.COM