能通过“模拟海量公网 IP”对目标进行 CC 攻击吗?

190 天前
 mrco
大家好,我们最近遭遇到几次规模特别大的 CC 攻击。

1 、不同于以往,我们通过日志分析发现,source ip 达到 10 万+的规模,每个 ip 访问 30 次左右,或者产生~ 30qps 就跑,以至于阿里云的 DDoS 直接防护失败了(因为传统 CC 都是高频访问,但这个根本就没触发相关的阈值。)

2 、后来我们通过各种渠道了解到:攻击者几乎没有花费任何费用,说是使用了“模拟 IP”的相关技术(我理解就是 ip-spoofing ,https://www.cloudflare.com/zh-cn/learning/ddos/glossary/ip-spoofing/)

我们很好奇,也在怀疑,如果是单纯的调动 10w+的肉鸡发起 CC 攻击,那这个能力似乎很厉害了吧?

如果仅仅靠“模拟 IP”的方式,比如自己找个大带宽的机器模拟 ip 来攻击,那我们 ddos 防御上看到的可能就是来自全球各地的肉鸡。这种方式有没有很好的防御措施呢?比如 URPF (查验来源 IP 相关的技术)

有朋友知道更多的细节吗,我很想了解,感谢大家!!
704 次点击
所在节点    问与答
11 条回复
yuzo555
190 天前
首先,来源 IP 地址是无法篡改和“模拟”的,不是修改 HTTP 请求头就能修改的,看到来源 IP 有多少那么实际的来源就有那么多。

这种如果不是真有那么多肉鸡,那么就是利用本身就有大流量的黑灰产项目,或者劫持了正常的大流量项目、网站(运营商劫持、入侵挂马劫持等),在大流量项目里面植入了访问你的目标的脚本,每个普通的客户端都成为了攻击的一部分。
Worldispow
190 天前
好像叫什么 dns 反射放大
stinkytofu
190 天前
现在的肉鸡早就不是当年的那种了, 现在大量的 4G,5G 物联网设备, 智能家居设备, 安全漏洞多的要死, 厂商也不积极更新修复, 这些一旦扫描到, 就是完美的 DDOS 肉鸡.
mrco
190 天前
@stinkytofu 所以你还是认为这 10w+是真实的肉鸡,而非通过修改 ip 数据包的头部信息仿冒出来的?
python35
190 天前
cc 的话 应该要跟目标服务器进行 tcp 握手,伪造 ip 的话,回程路由会有问题,应该没办法握手成功,大概率用的就是 3 楼的方案
wy315700
190 天前
模拟海量公网 IP 的前提是你拥有一个独立自主的 BGP 域,并且和你做了 peer 的运营商对来源 IP 监测不是严格的。


基本上这种攻击都是境外发起的
stinkytofu
190 天前
@mrco #4 来源 ip 不可能被修改的
mrco
189 天前
@yuzo555 赞同。CC 不同于流量攻击,理论上是需要 3 次握手,并且走 https 相关的流程。 如果是完全仿冒的 IP ,那都没法进行这些“高层级”的会话。
shiji
189 天前
十万这才哪到哪。百度改个 js 文件就能上亿。这些 ip 不一定非得是肉鸡。
IP spoofing 几乎不能在 TCP 层面实现。可以排除。
你看看日志的 ip 记录逻辑是什么,确定一下来源。
mrco
189 天前
@wy315700 我们 9 月 9 日开始,每天差不多 10 万肉鸡,产生~ 40k qps ,被攻击 7 天,国内外都有。
mrco
189 天前
@shiji 各种 ip 都有,移动城域网 ip 居多

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/987876

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX