TCP是基于链接的协议,TCP攻击防护对战时,服务器的线程数在线成为了防护的短板,hack好像了解这一点,通过调用很多肉鸡开始低频链接请求,通过小流量消耗服务器的链接,防护难度大幅度提高
面对准备充足、技术能力强的黑客入侵,sine防护团队怎样才能逐个击破,确保业务和平台稳定?接下来将详细分享。
0x03TCP反射:自我分析防护算法。TCP反射实际上并不是一种新奇的进攻手法,SINE安全团队早在2020年就发布了业内首篇技术文章,阐述了该手法的原理和危害。由于这种攻击手法存在协议堆栈行为,传统的反向挑战、协议堆栈行为检查等构想无法取得效果,该手法越来越受到黑产的欢迎,2020年Q3在云中爆炸。据sine统计,TCP反射现在的各大网站攻击次数从原先的10+次/天上升到1400+次/天,流量峰值从原先的10+Gbps急剧增加到500+G,TCP反射成为了不可忽视的安全问题,一定越来越泛滥。
TCP反射攻击状况,TCP反射的主要特点和防护难点如下
(1)通过反射可以轻松获得很多来源知识产权的合法和协议堆栈行为的流量;
(2)专业的防d设备通常在旁路部署,只能单向进入流量,不能完成双向对话检查
(3)可反射synack、ack、rst混合,使流量构成更接近正常业务。
面对这样的棘手攻击,腾讯sine队实际上已经准备好了,TCP反射爆炸前,已经分析了业界首个TCP反射防护算法:无需人工干预,在玩家无感知的前提下,可以正确区分攻击流量和正常流量,完成自动化、智能化的清洗。因此,在这次对战中,TCP反射得到了有效的防护,hack没有成功。
TCP四层CC:人工智能+DDoS防护。
其实现在的CC主要分为7层CC(基于HTTP协议)和4层CC(基于TCP协议)两种。但是,受到攻击的游戏业务没有HTTP,所以宇宙盾牌团队可以通过配置HTTP的禁止发展战略简单地解决,但是对于TCP的四层CC,防护难易度直接被吸引。
TCP四层CC是指hack控制很多肉鸡与目标服务器创建完整的TCP链接很多伪造的数据流量,消耗服务器资源达到拒绝服务的目的。这种攻击手法在TCP的经营场景中更为常见,而防护难点在于经营本身是基于TCP开发的私人协议,本身不规范,可用的防护特点和规则少,难以区分攻击和正常流量。
TCP四层CC攻击过程。
领域防护TCP四层CC最彻底的方法是让用户浏览SDK,用户的流量完全由SDK接管,防护系统可以通过与SDK协商制定的机制高效识别恶意通信量,完成自动防护。但是,这个方案需要用户和服务器的改造代码浏览,必然有很长的开发和测试周期,所以远水救不了近火。
实际上,sine队对TCP四层CC有多年的防护经验,分析了业界首个基于深入学习的TCP四层CC解决方案:
1.利用腾讯自身的很多流量数据优势,收集很多数据训练深度学习模型。
2.深入学习模型收敛后,具有自动识别和分类流量的能力。
3、在当前互联网防护过程中,DDOS系统与人工智能引擎联动,最后完成TCP四层CC的自动识别和清洗。TCP四层CCAI防护模型依靠该深度的学习方案,结合业务特点订制的发展战略,sine对该hack发起的TCP四层CC攻击流量完成了高精度的清洗,hack再次失败。