当前流行的TCP回放攻击主要分为两类,一类是大文件下载回放,模拟游戏版本更新过程,挤占带宽,躲
避防御系统;另一类是常见的TCP服务访问回放,拟游戏服务器外联访问,消耗网络设备会话资源。
大文件下载回放经常形成带宽拥塞型的ACK Flood。
TCP服务访问回放本质上属于虚假源攻击,为了躲避防御,通过连续发送同一报文伪装TCP重传;且攻击
采用的源往往为WEB服务器,导致传统的虚假源挑战认证防御失效。
图3-1-3-8 TCP服务访问回放攻击报文
图3-1-3-9 单次TCP服务访问回放攻击报文
VI. 大流量攻击复杂化,多种攻击手法混合,挑战防御系统的响应速度和防御成功率
从2018年开始,华为持续跟踪大流量攻击惯用的攻击手法。黑色产业服务化程度高,为挑战防御系统的响
应速度,扩大攻击影响范围,攻击平台的处理性能和自动化程度不断革新。2018年以来大流量攻击持续呈
现显著的“Fast Flooding”特点,竞争越激烈,攻击越持久。攻击的持久性则通过“脉冲攻击”和“Hit and
Run”充分展现。大流量攻击加速快,平均每秒上升50G,要求防御系统毫秒级响应,持续挑战防御系统的攻
击响应速度。当“攻击波”以分钟级为周期,周而复始,形成“脉冲攻击”;当“攻击波”的时间间隔为数
小时甚至数天,则形成“Hit and Run”。
从蜜罐捕获的恶意样本C2分析结果来看,IoT僵尸网络Mirai和Gafgyt是主流,占比81%,IoT僵尸网络
在DDoS攻击黑产领域最活跃,随着5G网络的快速发展,IoT僵尸网络依然会保持高速发展态势。