UDP/TCP 反射 DDoS 攻击原理
反射攻击利用协议设计缺陷,伪造受害者IP向开放服务器发送请求,服务器将响应数据包放大后反射至目标。UDP协议无连接特性使其成为主要载体,TCP反射需构造特定报文。
UDP反射机制
攻击者伪造源IP为受害者地址,向DNS/NTP/SNMP等开放服务发送查询请求。服务器响应数据包体积通常大于请求包(如DNS查询60字节可触发3000字节响应),实现流量放大。
TCP反射变种
通过伪造SYN-ACK报文触发服务器重传,或利用TCP协议栈漏洞(如ACK风暴)。部分中间件(如Memcached)的TCP服务也存在放大效应。
攻击特征识别方法
流量基线对比
监控入站流量突增情况,UDP反射表现为目标端口与协议服务端口一致(如123端口NTP流量激增),TCP反射常伴随异常标志位组合。
协议行为分析
DNS反射会显示大量响应包包含相似查询ID,NTP反射包含MON_GETLIST响应。TCP反射的SYN-ACK包源地址为真实服务器而非伪造IP。
负载特征检测
反射流量具有协议合规但业务异常的特点。例如HTTP Flood的URL参数随机化,而反射攻击的包内容符合协议规范但无实际业务关联。
流量清洗关键技术
近源清洗
在ISP层部署scrubbing center,通过BGP引流或DNS重定向将攻击流量导流至清洗设备。需配置动态ACL过滤伪造源IP的出境流量。
协议合规校验
对DNS反射实施RCookie验证,NTP服务限制MON_GETLIST命令。TCP反射需启用SYN Cookie并配置中间件关闭冗余服务端口。
速率限制策略
基于流量指纹设置阈值:
- UDP协议:单个源IP的DNS查询>100QPS触发限速
- TCP协议:SYN包速率超过ESTABLISHED连接数10倍时丢弃
企业级防御部署方案
网络架构优化
部署Anycast分散攻击流量,核心交换机启用uRPF严格模式。云环境结合SDN动态调整安全组规则,限制UDP服务的外网暴露面。
硬件设备选型
选择支持以下特性的清洗设备:
- 100G线速处理能力
- FPGA加速的正则匹配引擎
- 动态指纹学习算法(如CUSUM检测)
应急响应流程
- 启动流量分析确定攻击类型
- 切换至清洗中心或云防护服务
- 更新边界设备ACL规则
- 取证后向ISP提交伪造IP黑名单
防御效果评估指标
缓解时效性
从攻击开始到清洗生效的时间应<5分钟,大型企业需通过仿真测试验证SLA。
业务影响度
正常流量丢弃率需<0.1%,关键业务延迟波动不超过基线20%。建议通过混沌工程进行红蓝对抗测试。
成本效益分析
比较自建清洗中心与云服务TCO,通常200Mbps以下攻击采用云清洗更经济。企业应保留本地缓解能力应对0day攻击。