这是一个创建于 371 天前的主题,其中的信息可能已经有所发展或是发生改变。
大家好,我们最近遭遇到几次规模特别大的 CC 攻击。
1 、不同于以往,我们通过日志分析发现,source ip 达到 10 万+的规模,每个 ip 访问 30 次左右,或者产生~ 30qps 就跑,以至于阿里云的 DDoS 直接防护失败了(因为传统 CC 都是高频访问,但这个根本就没触发相关的阈值。)
2 、后来我们通过各种渠道了解到:攻击者几乎没有花费任何费用,说是使用了“模拟 IP”的相关技术(我理解就是 ip-spoofing ,https://www.cloudflare.com/zh-cn/learning/ddos/glossary/ip-spoofing/)
我们很好奇,也在怀疑,如果是单纯的调动 10w+的肉鸡发起 CC 攻击,那这个能力似乎很厉害了吧?
如果仅仅靠“模拟 IP”的方式,比如自己找个大带宽的机器模拟 ip 来攻击,那我们 ddos 防御上看到的可能就是来自全球各地的肉鸡。这种方式有没有很好的防御措施呢?比如 URPF (查验来源 IP 相关的技术)
有朋友知道更多的细节吗,我很想了解,感谢大家!!
1 、不同于以往,我们通过日志分析发现,source ip 达到 10 万+的规模,每个 ip 访问 30 次左右,或者产生~ 30qps 就跑,以至于阿里云的 DDoS 直接防护失败了(因为传统 CC 都是高频访问,但这个根本就没触发相关的阈值。)
2 、后来我们通过各种渠道了解到:攻击者几乎没有花费任何费用,说是使用了“模拟 IP”的相关技术(我理解就是 ip-spoofing ,https://www.cloudflare.com/zh-cn/learning/ddos/glossary/ip-spoofing/)
我们很好奇,也在怀疑,如果是单纯的调动 10w+的肉鸡发起 CC 攻击,那这个能力似乎很厉害了吧?
如果仅仅靠“模拟 IP”的方式,比如自己找个大带宽的机器模拟 ip 来攻击,那我们 ddos 防御上看到的可能就是来自全球各地的肉鸡。这种方式有没有很好的防御措施呢?比如 URPF (查验来源 IP 相关的技术)
有朋友知道更多的细节吗,我很想了解,感谢大家!!
 |
1
yuzo555 2023-11-02 14:46:24 +08:00
首先,来源 IP 地址是无法篡改和“模拟”的,不是修改 HTTP 请求头就能修改的,看到来源 IP 有多少那么实际的来源就有那么多。
这种如果不是真有那么多肉鸡,那么就是利用本身就有大流量的黑灰产项目,或者劫持了正常的大流量项目、网站(运营商劫持、入侵挂马劫持等),在大流量项目里面植入了访问你的目标的脚本,每个普通的客户端都成为了攻击的一部分。 |
 |
2
Worldispow 2023-11-02 14:48:47 +08:00 via Android
好像叫什么 dns 反射放大
|
 |
3
stinkytofu 2023-11-02 14:50:18 +08:00
现在的肉鸡早就不是当年的那种了, 现在大量的 4G,5G 物联网设备, 智能家居设备, 安全漏洞多的要死, 厂商也不积极更新修复, 这些一旦扫描到, 就是完美的 DDOS 肉鸡.
|
 |
4
mrco OP @stinkytofu 所以你还是认为这 10w+是真实的肉鸡,而非通过修改 ip 数据包的头部信息仿冒出来的?
|
 |
5
python35 2023-11-02 14:53:40 +08:00
cc 的话 应该要跟目标服务器进行 tcp 握手,伪造 ip 的话,回程路由会有问题,应该没办法握手成功,大概率用的就是 3 楼的方案
|
 |
6
wy315700 2023-11-02 14:54:13 +08:00
模拟海量公网 IP 的前提是你拥有一个独立自主的 BGP 域,并且和你做了 peer 的运营商对来源 IP 监测不是严格的。
基本上这种攻击都是境外发起的 |
|
7
stinkytofu 2023-11-02 14:54:14 +08:00
@mrco #4 来源 ip 不可能被修改的
|
|
8
mrco OP @yuzo555 赞同。CC 不同于流量攻击,理论上是需要 3 次握手,并且走 https 相关的流程。 如果是完全仿冒的 IP ,那都没法进行这些“高层级”的会话。
|
 |
9
shiji 2023-11-02 14:57:43 +08:00 via iPhone
十万这才哪到哪。百度改个 js 文件就能上亿。这些 ip 不一定非得是肉鸡。
IP spoofing 几乎不能在 TCP 层面实现。可以排除。 你看看日志的 ip 记录逻辑是什么,确定一下来源。 |
Select Language