TCP回放攻击 & DDoS脉冲攻击Hit and Run IoT僵尸网络 在DDoS攻击黑产领域最活跃

当前流行的TCP回放攻击主要分为两类，一类是大文件下载回放，模拟游戏版本更新过程，挤占带宽，躲
避防御系统；另一类是常见的TCP服务访问回放，拟游戏服务器外联访问，消耗网络设备会话资源。
大文件下载回放经常形成带宽拥塞型的ACK Flood。

 

TCP服务访问回放本质上属于虚假源攻击，为了躲避防御，通过连续发送同一报文伪装TCP重传；且攻击
采用的源往往为WEB服务器，导致传统的虚假源挑战认证防御失效。

 

图3-1-3-8 TCP服务访问回放攻击报文

图3-1-3-9 单次TCP服务访问回放攻击报文

 

VI. 大流量攻击复杂化，多种攻击手法混合，挑战防御系统的响应速度和防御成功率
从2018年开始，华为持续跟踪大流量攻击惯用的攻击手法。黑色产业服务化程度高，为挑战防御系统的响
应速度，扩大攻击影响范围，攻击平台的处理性能和自动化程度不断革新。2018年以来大流量攻击持续呈
现显著的“Fast Flooding”特点，竞争越激烈，攻击越持久。攻击的持久性则通过“脉冲攻击”和“Hit and
Run”充分展现。大流量攻击加速快，平均每秒上升50G，要求防御系统毫秒级响应，持续挑战防御系统的攻
击响应速度。当“攻击波”以分钟级为周期，周而复始，形成“脉冲攻击”；当“攻击波”的时间间隔为数
小时甚至数天，则形成“Hit and Run”。

 

从蜜罐捕获的恶意样本C2分析结果来看，IoT僵尸网络Mirai和Gafgyt是主流，占比81%，IoT僵尸网络
在DDoS攻击黑产领域最活跃，随着5G网络的快速发展，IoT僵尸网络依然会保持高速发展态势。