登录
/
注册
首页
论坛
其它
首页
科技
业界
安全
程序
广播
Follow
关于
博客
发1篇日志+1圆
记录
发1条记录+2圆币
发帖说明
登录
/
注册
账号
自动登录
找回密码
密码
登录
立即注册
搜索
搜索
关闭
CSDN热搜
程序园
精品问答
技术交流
资源下载
本版
帖子
用户
软件
问答
教程
代码
VIP网盘
VIP申请
网盘
联系我们
道具
勋章
任务
设置
我的收藏
退出
腾讯QQ
微信登录
返回列表
首页
›
业界区
›
科技
›
DDoS扫段攻击什么意思?扫段攻击如何处理? ...
DDoS扫段攻击什么意思?扫段攻击如何处理?
[ 复制链接 ]
萧海芷
2025-6-7 10:22:30
概述
随着互联网的快速发展,DDoS攻击已经演变成全球性的网络安全威胁,从早期的SYNFlood攻击,到近年来兴起的各种新型反射放大攻击,DDoS攻击愈演愈烈,无论是受控主机还是攻击对象,都日益呈现出大规模化和多样化的态势。
防御技术的不断完善,攻击技术则不断进化。当前在各种防御平台、方案启用防护后,传统的DDoS攻击已经较难给目标网络造成持续性的破坏。于是近年来兴起了一种新的DDoS攻击方式,扫段攻击。扫段攻击顾名思义是对一大段IP同时或顺序地实施DDoS攻击,同时攻击的情况下每个目标IP所受攻击流量较小,全部加一起则很大;顺序攻击时,每个IP遭受攻击流量很大,但持续的时间很短,短则3秒,长的超过30秒。也可以说扫段攻击是一系列关联的DDoS攻击事件的组合,但是攻击者会对攻击目标、攻击时长,攻击频度进行不断的变化,这给传统的DDoS监测和防御提出新的挑战。
当前黑客使用扫段攻击主要是针对ISP服务提供商,此类攻击态势在近期持续存在。
攻击回顾
1)攻击案例
2020年1月29日凌晨,防火墙系统监测到某机房突然出现大量短时间的DDoS攻击事件,系统研判自动修正这一系列攻击事件是一次扫段攻击。安全专家跟踪分析发现,当天共发生16次扫段攻击,攻击者共计攻击了128个C段的12967个IP。
攻击首日,持续时间最长的一次扫段攻击超过了一个小时;攻击者在这次攻击中,不断变换攻击IP,每次会抽取同一C段的15个IP地址同时发动DDoS攻击,攻击类型均为SYNFlood与多种UDP反射混合。
定位扫段攻击后,通过BGP宣告被攻击IP所在的C段整体切换到另一低优线路发布路由,同时加大该线路的基础带宽,在防御的过程中,清洗与黑洞组合使用,尽可能保障业务服务正常。
2)攻击态势
这一波扫段攻击持续了较长时间,2月14日发生的扫段攻击次数最多,下图展示了扫段攻击的趋势:
图1 扫段攻击趋势
一次扫段攻击按传统监测统计则是一系列DDoS攻击事件的组合,其中包含大量的短时小流量攻击。我们拆分为单IP受攻击的事件进行统计分析后发现,扫段攻击次数对比传统攻击次数惊人的接近1:1000。下图展示单IP遭受的DDoS攻击态势:
图2 单一IP攻击事件趋势
3)攻击时长
经过统计,攻击者每次发起的扫段攻击持续时长大部分在60分钟以内,占比达到了89.7%,下图展示了扫段攻击时长分布:
图3 扫段攻击时长分布
我们提取了扫段攻击中单IP遭受DDoS攻击的攻击时长,统计分析后发现,攻击时长集中在3秒、5秒和10秒,总占比达到93.9%。
图4 单IP攻击时长分布
4)流量类型
本次攻击中,攻击者主要使用混合攻击的方式进行攻击,攻击类型主要为SYNFlood与多种UDP反射,反射攻击中NTP反射、SSDP反射、DNS反射和Memcached反射为主要攻击方式,占比接近50%。
图5 流量类型分布
技术分析
1)攻击行为
为了分析攻击者实施扫段攻击的行为方式,我们抽取了多次的攻击数据发现,攻击者很规律的使用两种攻击方式进行攻击。在攻击最频繁的14日,攻击者每次发动扫段攻击,均针对多个IP段的多个IP地址同时发起DDoS攻击,统计发现,最多的一次攻击同时针对4个IP段的443个IP地址,攻击者每次针对15个IP持续攻击5秒,攻击IP没有任何规律,完全随机,间隔2-3秒后再次发动攻击,循环攻击,直至结束。下图展示了这一攻击行为:
图6 同时攻击
我们在统计分析时也发现攻击者针对C段IP地址顺序发动攻击,每次攻击15个IP地址,持续攻击10秒,随后在间隔5秒左右,再次发动攻击,攻击IP为同IP段内递增的IP地址。规模最大的一次攻击,攻击者打满了整个C段的IP,下图展示了攻击者顺序进行攻击的行为(抽取了60个IP地址)。
图7 顺序攻击
2)攻击手法
我们对参与这次攻击的反射源地域分布进行统计发现,参与攻击的反射源总计高达3914654个,其中美国和中国的反射源最多。
图8 反射源TOP10
在分析活跃反射源时发现, 74%为NTP放大器,NTP反射之所以被黑客频繁利用,一方面是由于互联网上存在开放着数量庞大的NTP服务器,另一方面是NTP反射的放大效果显著,科学计算的放大倍数高达602.38倍。
图9 活跃反射源分布
攻击者重复使用的反射源占94%,安全专家推测,此次攻击来自于同一攻击团伙,攻击者倾向于反复利用固定的反射资源发动攻击。我们进一步分析了攻击者发动DNS反射与SSDP反射的攻击手法。
在DNS反射攻击中,攻击者使用ANY查询固定的域名:
图10 DNS反射响应包
在SSDP反射攻击中,攻击者使用多播查询请求”upnp:rootdevice(查询根设备)”来发动攻击:
图11 SSDP反射固定的查询请求
3)风险分析
兵法曰:兵无常势,水无常形。能因故变化而取胜者,谓之神。DDoS安全攻防对抗也是如此,攻击者会不断寻找防护方的弱点,防护方也需要不断研究黑客思维,探索应对黑客的方法。
扫段攻击的防御相比传统DDoS攻击缓解有较大难度的提升,目前黑客使用扫段攻击主要还是针对ISP服务提供商,对抗攻击的方法相对充分。如果黑客利用这种方式针对防护能力较弱的个人、企业等发动攻击,将极大威胁整体业务的可用性,甚至波及的范围更广,身处一线防护的同行们必须提高警惕。
防御建议
扫段攻击与传统DDoS相比,能够给目标服务器带来持续性的破坏,而且组织有效防御将更加复杂,因而扫段攻击越来越受到黑客青睐。建议参考以下方式提升防护能力。
A 利用上游防火墙ACL过滤功能,拦截对应攻击报文;
B 禁用不必要的UDP服务和端口,减少威胁暴露面;
C 提前接入DDoS云防护产品,有效挫败攻击阴谋;
感谢您的阅读,服务器大本营-技术文章内容集合站,助您成为更专业的服务器管理员!
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
回复
使用道具
举报
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
回复
本版积分规则
回帖并转播
回帖后跳转到最后一页
签约作者
程序园优秀签约作者
发帖
萧海芷
2025-6-7 10:22:30
关注
0
粉丝关注
15
主题发布
板块介绍填写区域,请于后台编辑
财富榜{圆}
敖可
9986
背竽
9992
猷咎
9990
4
凶契帽
9990
5
里豳朝
9990
6
处匈跑
9990
7
黎瑞芝
9990
8
恐肩
9988
9
终秀敏
9988
10
杭环
9988
查看更多