轉自security affairs,作者Pierluigi Paganini,藍色摩卡譯
Radware的研究人員報告說,上個月,大規模的TCP SYN-ACK DDoS反射攻擊襲擊了Amazon,SoftLayer和電信基礎設施。
Radware的研究人員警告說,在過去30天中,一波TCP SYN-ACK DDoS反射攻擊浪潮襲擊了Amazon,SoftLayer和電信基礎設施。
“在過去30天中,Radware觀察到許多犯罪活動,它們通過對大型公司進行TCP反射攻擊來濫用TCP實施。”閱讀Radware發表的分析。
“這些攻擊不僅影響了目標網絡,而且還破壞了全球的反射網絡,造成了許多企業懷疑SYN洪水攻擊的後果。”
在TCP SYN-ACK反射攻擊中,攻擊者將欺騙的SYN數據包發送到各種隨機或預選的反射IP地址。
欺騙的封隔器將原始源IP替換為目標IP地址,反射IP地址上的系統以SYN-ACK數據包答覆目標,但是典型的三向握手可能會假設要傳遞單個SYN-ACK數據包對於受害者,
當受害者沒有用最後一個ACK數據包響應時,反射服務將繼續重傳SYN-ACK數據包。這種機制可以放大DDoS攻擊。
放大係數 要看在反射IP地址上運行的服務對SYN-ACK進行重傳的次數。研究發現,超過480萬臺設備的平均放大倍數高達112倍,數以千計的主機可能被濫用,放大倍數高達80,000倍,這對於攻擊者而言是驚人的火力。
專家觀察到,針對Amazon,SoftLayer,Eurobet Italia SRL,Korea Telecom,HZ Hosting和SK Broadband等許多公司的TCP反射DDoS攻擊進行了幾次攻擊。
新的重大攻擊浪潮始於10月,當時重大DDoS攻擊使在線體育博彩網站Eurobet的意大利分支機構的網絡癱瘓。攻擊持續了幾天,也影響了其他投注網絡。
來自Garanti BBVA IP範圍的數據包計數– 2019年10月(Radware報告)
10月底,Radware觀察到其他針對意大利,韓國和土耳其的金融和電信行業發起TCP反射DDoS攻擊的犯罪活動。
分析繼續說:“由於攻擊媒介之一的反射性,安全團體注意到了這種攻擊,”
“在24小時內,來自[土耳其提供商的基礎設施] Garanti Bilisim Teknolojisi ve Ticaret TR.AS的近7,000個不同源IP地址的數百萬個TCP-SYN數據包是 全局感知,並特別針對端口22、25、53、80和443。”
專家們說,這場運動始於2018年,針對的是大型和資源豐富的公司,以及小型企業和房主。專家指出,未為TCP流量激增做好準備的組織會遭受二次中斷,“ SYN氾濫是一種可察覺的副作用。通過 附帶受害者。”
最近的TCP反射攻擊浪潮中涉及的大多數反射IP地址都屬於Internet IPv4地址空間。
“這意味著最近的攻擊者(如圖所示)使用偽造的SYN數據包的快速速率發送到廣泛的IPv4地址空間,並且其欺騙源來自子網中託管的bot或服務器,以及未實施BCP的提供商。以防止其服務器或網絡上的IP源地址欺騙。”
“欺騙來源在 這些攻擊是預期目標的整個網絡範圍,只要沒有收到RST數據包,目標反射器就會在地毯式轟炸攻擊中重傳SYN-ACK數據包。”
精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢
閱讀更多 超級盾 的文章
