保定DRDoS预警：TCP反射的深度分析

0x00 背景

TCP反射攻击是在现网的DDoS攻防对抗中，逐渐兴起的一种新型攻击方式。攻击者伪造源IP地址为被攻击目标的IP地址向公网上大量的TCP服务器（通常是CDN、WEB站点等）发送连接请求（SYN报文），这些被利用的TCP反射服务器在收到大量的连接报文后，会向被攻击目标响应大量的数据包，这些反射数据包的类型通常包括SYN-ACK、ACK和RST-ACK，由于这些攻击流量通常混杂着正常业务流量，并且存在协议栈行为，导致传统的DDoS防御系统很难防御，因而使得这种攻击方式近年来呈现出不断上升的趋势。

SEM智云盾系统针对TCP反射攻击进行跟踪，分析发现攻击频率近几年呈现出明显上升的趋势，反射攻击手法也在不断变化，攻击流量从常见的单一SYN-ACK，发展成由SYN-ACK、ACK和RST-ACK报文混合组成。根据智云盾系统监测的数据显示，混合型TCP反射已经成为了继SSDP、NTP反射之后为流行的攻击方式。SEM智云盾系统在与TCP反射攻击的长期攻防对抗中，制定出一套TCP反射防御算法，能够2s内识别攻击，实时对流量进行隔离和清洗，保障用户与公司免遭此类攻击的伤害。

0x01 反射原理

1）标准反射流

众所周知，TCP的三次握手，服务端在接受到客户端的SYN报文后，会响应SYN-ACK报文，并开启一个半连接放入队列。如果此时服务端短时间内收到多个相同五元组的SYN报文，就会在服务端造成会话冲突，此时不同服务器的处理方式不同。

标准的TCP协议栈在遇到会话冲突的情况时，会响应出SYN-ACK、ACK和RST-ACK报文，服务端在次收到SYN报文后，会回复一个SYN-ACK报文，后续针对同一五元组过来的SYN报文，则会与当前数据包的seq号SEQ2、次收到的seq号SEQ1以及服务端的window size有关。通常包含以下几种情况：

上一篇：保定全国反诈防诈系列宣传活动正式启动 SEM等互联网公司积极响应 下一篇：保定SEM安全亮相第四届数字中国建设峰会 助力公安反诈治理