能通过“模拟海量公网 IP”对目标进行 CC 攻击吗?

2023-11-02 14:41:22 +08:00
 mrco
大家好,我们最近遭遇到几次规模特别大的 CC 攻击。

1 、不同于以往,我们通过日志分析发现,source ip 达到 10 万+的规模,每个 ip 访问 30 次左右,或者产生~ 30qps 就跑,以至于阿里云的 DDoS 直接防护失败了(因为传统 CC 都是高频访问,但这个根本就没触发相关的阈值。)

2 、后来我们通过各种渠道了解到:攻击者几乎没有花费任何费用,说是使用了“模拟 IP”的相关技术(我理解就是 ip-spoofing ,https://www.cloudflare.com/zh-cn/learning/ddos/glossary/ip-spoofing/)

我们很好奇,也在怀疑,如果是单纯的调动 10w+的肉鸡发起 CC 攻击,那这个能力似乎很厉害了吧?

如果仅仅靠“模拟 IP”的方式,比如自己找个大带宽的机器模拟 ip 来攻击,那我们 ddos 防御上看到的可能就是来自全球各地的肉鸡。这种方式有没有很好的防御措施呢?比如 URPF (查验来源 IP 相关的技术)

有朋友知道更多的细节吗,我很想了解,感谢大家!!
913 次点击
所在节点    问与答
11 条回复
yuzo555
2023-11-02 14:46:24 +08:00
首先,来源 IP 地址是无法篡改和“模拟”的,不是修改 HTTP 请求头就能修改的,看到来源 IP 有多少那么实际的来源就有那么多。

这种如果不是真有那么多肉鸡,那么就是利用本身就有大流量的黑灰产项目,或者劫持了正常的大流量项目、网站(运营商劫持、入侵挂马劫持等),在大流量项目里面植入了访问你的目标的脚本,每个普通的客户端都成为了攻击的一部分。
Worldispow
2023-11-02 14:48:47 +08:00
好像叫什么 dns 反射放大
stinkytofu
2023-11-02 14:50:18 +08:00
现在的肉鸡早就不是当年的那种了, 现在大量的 4G,5G 物联网设备, 智能家居设备, 安全漏洞多的要死, 厂商也不积极更新修复, 这些一旦扫描到, 就是完美的 DDOS 肉鸡.
mrco
2023-11-02 14:53:35 +08:00
@stinkytofu 所以你还是认为这 10w+是真实的肉鸡,而非通过修改 ip 数据包的头部信息仿冒出来的?
python35
2023-11-02 14:53:40 +08:00
cc 的话 应该要跟目标服务器进行 tcp 握手,伪造 ip 的话,回程路由会有问题,应该没办法握手成功,大概率用的就是 3 楼的方案
wy315700
2023-11-02 14:54:13 +08:00
模拟海量公网 IP 的前提是你拥有一个独立自主的 BGP 域,并且和你做了 peer 的运营商对来源 IP 监测不是严格的。


基本上这种攻击都是境外发起的
stinkytofu
2023-11-02 14:54:14 +08:00
@mrco #4 来源 ip 不可能被修改的
mrco
2023-11-02 14:57:07 +08:00
@yuzo555 赞同。CC 不同于流量攻击,理论上是需要 3 次握手,并且走 https 相关的流程。 如果是完全仿冒的 IP ,那都没法进行这些“高层级”的会话。
shiji
2023-11-02 14:57:43 +08:00
十万这才哪到哪。百度改个 js 文件就能上亿。这些 ip 不一定非得是肉鸡。
IP spoofing 几乎不能在 TCP 层面实现。可以排除。
你看看日志的 ip 记录逻辑是什么,确定一下来源。
mrco
2023-11-02 14:58:57 +08:00
@wy315700 我们 9 月 9 日开始,每天差不多 10 万肉鸡,产生~ 40k qps ,被攻击 7 天,国内外都有。
mrco
2023-11-02 15:00:00 +08:00
@shiji 各种 ip 都有,移动城域网 ip 居多

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/987876

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX