Security ❀ UDP/TCP传输层常见DOS攻击详解

1. UDP协议基础

UDP - 用户数据报协议：是一种无连接的四层传输协议，不提供数据的校验机制。当报文成功发送之后不再关心此报文是否完整的到达对端。

可以简单理解为：以牺牲协议安全性为前提，减少了需要传输的内容，UDP报文资源消耗更小，处理和传输速度更快，因此大部分的音频和视频数据均使用UDP协议传输。

2. UDP Flood

2.1. 攻击原理

黑客发送大量UDP协议报文到目标，由于UDP协议无法进行数据校验，因此目标会处理大量UDP报文而占用其业务资源。

2.2. 防护方法

• 常用端口限速：常见UDP协议，如DNS、NTP、SNMP等协议均有固定端口，可以对其端口进行阈值限速处理，防止流量过大；
• 特征提取过滤：UDP报文伪造多为工具输出，因此具有一定的特征值，常位于协议包的尾部，因此可以尝试获取UDP协议包载荷的最后几个字节，这个字节数最好为递增值（如1-8内递增变动），还需要注意偏移量。

3. TCP三次握手和四次挥手

3.1. 三次握手

• SYN：第一次握手，客户端向服务器发起连接请求，报文中设置SYN标志位为1，序号为0；
  
• SYN-ACK：第二次握手，服务器收到客户端请求后，向客户端回应报文，报文中设置SYN和ACK标志位为1，序号为0（服务器与客户端的序列号都是自维护递增关系，可以在Next Seq Number字段查看下一个序列号的值），确认序号为客户端的序号+1，即0+1=1；
  
• ACK：第三次握手，客户端收到服务器回应的报文后，检查报文中的确认序列号是否正常，如果正确则发送确认报文，确认报文中ACK标志位为1，确认序列号为服务器的序列号+1，即为0+1=1；
  
  经过上述三次握手之后，TCP连接建立完成。若中间机制存在异常，则会发送RST报文（RST标志位为1）中断TCP连接会话，并重新建立新的连接。

3.2. 四次挥手

• FIN：TCP断开连接时第一次握手由服务器发起，报文中FIN标和ACK标志位为1，序号为11；
• ACK：第二次握手，客户端收到服务器发送的FIN报文之后，向服务器发送回应报文，报文中ACK标志位为1，确认序列号为服务器FIN报文中序列号+1，即为11+1=12；
• FIN：第三次握手，此时客户端也需要关闭与服务器的连接，客户端向服务器发送FIN报文，报文中FIN标和ACK标志位为1，序号为22（服务器与客户端的序列号都是自维护递增关系，可以在Next Seq Number字段查看下一个序列号的值）；
• ACK：第四次握手，服务器收到客户端发送的FIN报文之后，向客户端发送回应报文，报文中ACK标志位为1，确认序列号为客户端FIN报文中序列号+1，即为22+1=23；

4. SYN Flood

4.1. 攻击原理

攻击者利用攻击或操纵僵尸网络主机发送大量TCP SYN报文，当服务器回应SYN-ACK报文后，攻击者不再回应ACK，导致三次握手连接无法建立，因此服务器上会残留大量的TCP半连接，导致其服务资源的浪费。

4.2. 防护方法

• 基本源认证：当流量触发防护阈值时，新的SYN报文被防护设备拦截，防护设备向客户端发送一个SYN-ACK报文， 其携带了错误的ACK Seq，真实客户端收到了带错误的序号报文，会RST当前连接，重新发起新的连接，防护设备若收到此IP的RST报文，则对IP加白即可。
• 高级源认证：与基本源认证不同的是，高级源认证发送的是正常的SYN-ACK报文，只不过连接的超时时间比TCP连接更加短，在限定时间内无法收到ACK时则断开此链接，不再进行多余的等待；
• 首包丢弃：防护设备丢弃第一个SYN报文并且同时记录其报文的三元组信息，此时会触发TCP重传机制，当新的SYN报文匹配到已保存的三元组后进行加白即可。

5. SYN-ACK Flood

5.1. 攻击原理

在TCP连接中，SYN-ACK报文是用来确认第一次握手的机制，如果攻击者利用工具或者操纵僵尸主机发送大量SYN-ACK报文到目标机器，目标会首先判断该报文是否属于当前正在建立的三次握手范畴内，不属于的话会直接发送RST报文中断此次连接，目标机器忙于发送大量的RST报文而导致资源消耗。

5.2. 防护方法

• 反向确认法：当流量触发防护阈值时，收到SYN-ACK报文时会记录其三元组信息，进行反向SYN连接探测，若源头做出响应，直接进行RST并将IP加白，反之无响应时则判断为虚假源。

6. ACK Flood

6.1. 攻击原理

在TCP连接中，ACK报文出现在第三次握手，用来确认第二次的SYN-ACK报文，攻击者利用工具或者操纵僵尸主机发送大量ACK报文，服务器忙于处理这些凭空出现的ACK报文而导致资源耗尽。

6.2. 防护方法

• 会话匹配模式：对ACK进行会话检查，如果ACK报文没有命中会话，则以此ACK报文的三元组信息建立会话进行存储，后续ACK报文进行会话检查，若命中会话则继续检查报文的序列号Seq Number，正确则放过，反之丢弃；
• 加强会话模式：不允许第一个ACK报文通过创建会话，只校验完成TCP三次握手的会话，没有命中的ACK均被丢弃，在引流场景下可能存在来回路径不一致问题（请求被代理，响应不过代理），会影响到因为转发的ACK报文。

7. FIN/RST Flood

7.1. 攻击原理

在TCP连接中，FIN和RST报文均用来关闭TCP连接，这两种报文仍然会被大量伪造用来消耗服务器资源。

7.2. 防护方法

• 会话匹配模式：若会话由SYN或SYN-ACK建立，则允许FIN/RST通过；若会话由其他报文创建，则检查报文内序列号，正确则通过，反之丢弃。

8. TCP连接耗尽

8.1. 攻击原理

攻击者利用僵尸机器大量创建TCP连接，当连接建立完成后

• 立即发送FIN或RST断开连接，同时快速发起新的连接，重复进行操作即可消耗服务器系统资源；
• 攻击者发送很少的报文来维持连接状态，以消耗服务器系统资源。

8.2. 防护方法

• 连接数监控：防护设备可以设置TCP连接速率，当受保护的TCP目标新建了连接，针对源IP进行统计，若某个IP在指定的时间内发起的TCP新建连接数超过了设置阈值，则进行拉黑操作。
• 报文数量监控：防护设备监控受保护目标的TCP连接，设置在特定时间内通过报文的数量阈值，若时间段内若低于设置阈值的传输报文数量，则断开此异常TCP连接即可。

9. 异常报文

TCP特殊标志位：

• URG：置1时表示紧急指针有效；
• ACK：置1时表示确认序号有效；
• PSH：置1时表示接收方收到数据段后应该尽快送到应用程序；
• RST：置1时表示重新建立连接；
• SYN：置1时表示发起一个连接；
• FIN：置1时表示发送方完成发送任务，释放连接。

9.1. 攻击原理

TCP协议标志位置1严格遵守协议规范，其不遵循规范的报文即为异常报文。

9.2. 防护方法

监控标志位置1的情况：

• 六个标志位都为1或0；
• SYN和FIN同时为1；
• SYN和RST同时为1；
• FIN和RST同时为1；
• 仅FIN为1；
• 仅PSH为1；
• 仅URG为1；
• 带有载荷的SYN和SYN-ACK报文；
• SYN、RST、FIN为1的分片报文；
  …