扫段攻击来袭，DDoS 防御面临新挑战

0x00 概述

随着互联网的快速发展，DDoS 攻击已经演变成全球性的网络安全威胁，从早期的 SYNFlood 攻击，到近年来兴起的各种新型反射放大攻击，DDoS 攻击愈演愈烈，无论是受控主机还是攻击对象，都日益呈现出大规模化和多样化的态势。

防御技术的不断完善，攻击技术则不断进化。当前在各种防御平台、方案启用防护后，传统的 DDoS 攻击已经较难给目标网络造成持续性的破坏。于是近年来兴起了一种新的 DDoS 攻击方式，扫段攻击。扫段攻击顾名思义是对一大段 IP 同时或顺序地实施 DDoS 攻击，同时攻击的情况下每个目标 IP 所受攻击流量较小，全部加一起则很大；顺序攻击时，每个 IP 遭受攻击流量很大，但持续的时间很短，短则 3 秒，长的超过 30 秒。也可以说扫段攻击是一系列关联的 DDoS 攻击事件的组合，但是攻击者会对攻击目标、攻击时长，攻击频度进行不断的变化，这给传统的 DDoS 监测和防御提出新的挑战。

当前黑客使用扫段攻击主要是针对 ISP 服务提供商，我们监控到此类攻击态势在近期持续存在。

0x01 攻击回顾

1）攻击案例

2020 年 1 月 29 日凌晨，我们监测到海外某机房突然出现大量短时间的 DDoS 攻击事件，系统研判自动修正这一系列攻击事件是一次扫段攻击。安全专家跟踪分析发现，当天共发生 16 次扫段攻击，攻击者共计攻击了 128 个 C 段的 12967 个 IP。

攻击首日，持续时间最长的一次扫段攻击超过了一个小时；攻击者在这次攻击中，不断变换攻击 IP，每次会抽取同一 C 段的 15 个 IP 地址同时发动 DDoS 攻击，攻击类型均为 SYNFlood 与多种 UDP 反射混合。

我们定位扫段攻击后，通过 BGP 宣告被攻击 IP 所在的 C 段整体切换到另一低优线路发布路由，同时加大该线路的基础带宽，在防御的过程中，清洗与黑洞组合使用，尽可能保障业务服务正常。

2）攻击态势

这一波扫段攻击持续了较长时间，2 月 14 日发生的扫段攻击次数最多，下图展示了扫段攻击的趋势：

图片 4.png

图 1 扫段攻击趋势

一次扫段攻击按传统监测统计则是一系列 DDoS 攻击事件的组合，其中包含大量的短时小流量攻击。我们拆分为单 IP 受攻击的事件进行统计分析后发现，扫段攻击次数对比传统攻击次数惊人的接近 1：1000。下图展示单 IP 遭受的 DDoS 攻击态势：

图片 5.png 图 2 单一 IP 攻击事件趋势

3）攻击时长

经过统计，攻击者每次发起的扫段攻击持续时长大部分在 60 分钟以内，占比达到了 89.7%，下图展示了扫段攻击时长分布：

图片 6.png

  图3 扫段攻击时长分布

我们提取了扫段攻击中单 IP 遭受 DDoS 攻击的攻击时长，统计分析后发现，攻击时长集中在 3 秒、5 秒和 10 秒，总占比达到 93.9%。

图片 7.png

       图4 单IP攻击时长分布                               

4）流量类型

本次攻击中，攻击者主要使用混合攻击的方式进行攻击，攻击类型主要为 SYNFlood 与多种 UDP 反射，反射攻击中 NTP 反射、SSDP 反射、DNS 反射和 Memcached 反射为主要攻击方式，占比接近 50%。

图片 8.png 图 5 流量类型分布

0x02 技术分析

1） 攻击行为

为了分析攻击者实施扫段攻击的行为方式，我们抽取了多次的攻击数据发现，攻击者很规律的使用两种攻击方式进行攻击。在攻击最频繁的 14 日，攻击者每次发动扫段攻击，均针对多个 IP 段的多个 IP 地址同时发起 DDoS 攻击，统计发现，最多的一次攻击同时针对 4 个 IP 段的 443 个 IP 地址，攻击者每次针对 15 个 IP 持续攻击 5 秒，攻击 IP 没有任何规律，完全随机，间隔 2-3 秒后再次发动攻击，循环攻击，直至结束。下图展示了这一攻击行为：

图片 9.png

        图6 同时攻击

我们在统计分析时也发现攻击者针对 C 段 IP 地址顺序发动攻击，每次攻击 15 个 IP 地址，持续攻击 10 秒，随后在间隔 5 秒左右，再次发动攻击，攻击 IP 为同 IP 段内递增的 IP 地址。规模最大的一次攻击，攻击者打满了整个 C 段的 IP，下图展示了攻击者顺序进行攻击的行为（抽取了 60 个 IP 地址）。

图片 10.png

     图7 顺序攻击

2） 攻击手法

我们对参与这次攻击的反射源地域分布进行统计发现，参与攻击的反射源总计高达 3914654 个，其中美国和中国的反射源最多。

图片 11.png

图 8 反射源 TOP10

在分析活跃反射源时发现， 74%为 NTP 放大器，NTP 反射之所以被黑客频繁利用，一方面是由于互联网上存在开放着数量庞大的 NTP 服务器，另一方面是 NTP 反射的放大效果显著，科学计算的放大倍数高达 602.38 倍。

图片 12.png 图 9 活跃反射源分布

攻击者重复使用的反射源占 94%，安全专家推测，此次攻击来自于同一攻击团伙，攻击者倾向于反复利用固定的反射资源发动攻击。我们进一步分析了攻击者发动 DNS 反射与 SSDP 反射的攻击手法。

在 DNS 反射攻击中，攻击者使用 ANY 查询固定的域名:

图片 13.png

图 10 DNS 反射响应包

在 SSDP 反射攻击中，攻击者使用多播查询请求”upnp：rootdevice（查询根设备）”来发动攻击:

图片 14.png

图 11 SSDP 反射固定的查询请求

3） 风险分析

兵法曰：兵无常势，水无常形。能因故变化而取胜者，谓之神。DDoS 安全攻防对抗也是如此，攻击者会不断寻找防护方的弱点，防护方也需要不断研究黑客思维，探索应对黑客的方法。

扫段攻击的防御相比传统 DDoS 攻击缓解有较大难度的提升，目前黑客使用扫段攻击主要还是针对 ISP 服务提供商，对抗攻击的方法相对充分。如果黑客利用这种方式针对防护能力较弱的个人、企业等发动攻击，将极大威胁整体业务的可用性，甚至波及的范围更广，身处一线防护的同行们必须提高警惕。

0x03 防御建议

扫段攻击与传统 DDoS 相比，能够给目标服务器带来持续性的破坏,而且组织有效防御将更加复杂，因而扫段攻击越来越受到黑客青睐。建议参考以下方式提升防护能力。

A 利用上游防火墙 ACL 过滤功能，拦截对应攻击报文；

B 禁用不必要的 UDP 服务和端口哦，减少威胁暴露面；

C 提前接入 DDoS 云防护产品，有效挫败攻击阴谋；