V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
mrco
V2EX  ›  问与答

能通过“模拟海量公网 IP”对目标进行 CC 攻击吗?

  •  
  •   mrco · 2023-11-02 14:41:22 +08:00 · 892 次点击
    这是一个创建于 385 天前的主题,其中的信息可能已经有所发展或是发生改变。
    大家好,我们最近遭遇到几次规模特别大的 CC 攻击。

    1 、不同于以往,我们通过日志分析发现,source ip 达到 10 万+的规模,每个 ip 访问 30 次左右,或者产生~ 30qps 就跑,以至于阿里云的 DDoS 直接防护失败了(因为传统 CC 都是高频访问,但这个根本就没触发相关的阈值。)

    2 、后来我们通过各种渠道了解到:攻击者几乎没有花费任何费用,说是使用了“模拟 IP”的相关技术(我理解就是 ip-spoofing ,https://www.cloudflare.com/zh-cn/learning/ddos/glossary/ip-spoofing/)

    我们很好奇,也在怀疑,如果是单纯的调动 10w+的肉鸡发起 CC 攻击,那这个能力似乎很厉害了吧?

    如果仅仅靠“模拟 IP”的方式,比如自己找个大带宽的机器模拟 ip 来攻击,那我们 ddos 防御上看到的可能就是来自全球各地的肉鸡。这种方式有没有很好的防御措施呢?比如 URPF (查验来源 IP 相关的技术)

    有朋友知道更多的细节吗,我很想了解,感谢大家!!
    11 条回复    2023-11-02 15:00:00 +08:00
    yuzo555
        1
    yuzo555  
       2023-11-02 14:46:24 +08:00
    首先,来源 IP 地址是无法篡改和“模拟”的,不是修改 HTTP 请求头就能修改的,看到来源 IP 有多少那么实际的来源就有那么多。

    这种如果不是真有那么多肉鸡,那么就是利用本身就有大流量的黑灰产项目,或者劫持了正常的大流量项目、网站(运营商劫持、入侵挂马劫持等),在大流量项目里面植入了访问你的目标的脚本,每个普通的客户端都成为了攻击的一部分。
    Worldispow
        2
    Worldispow  
       2023-11-02 14:48:47 +08:00 via Android
    好像叫什么 dns 反射放大
    stinkytofu
        3
    stinkytofu  
       2023-11-02 14:50:18 +08:00
    现在的肉鸡早就不是当年的那种了, 现在大量的 4G,5G 物联网设备, 智能家居设备, 安全漏洞多的要死, 厂商也不积极更新修复, 这些一旦扫描到, 就是完美的 DDOS 肉鸡.
    mrco
        4
    mrco  
    OP
       2023-11-02 14:53:35 +08:00
    @stinkytofu 所以你还是认为这 10w+是真实的肉鸡,而非通过修改 ip 数据包的头部信息仿冒出来的?
    python35
        5
    python35  
       2023-11-02 14:53:40 +08:00
    cc 的话 应该要跟目标服务器进行 tcp 握手,伪造 ip 的话,回程路由会有问题,应该没办法握手成功,大概率用的就是 3 楼的方案
    wy315700
        6
    wy315700  
       2023-11-02 14:54:13 +08:00
    模拟海量公网 IP 的前提是你拥有一个独立自主的 BGP 域,并且和你做了 peer 的运营商对来源 IP 监测不是严格的。


    基本上这种攻击都是境外发起的
    stinkytofu
        7
    stinkytofu  
       2023-11-02 14:54:14 +08:00
    @mrco #4 来源 ip 不可能被修改的
    mrco
        8
    mrco  
    OP
       2023-11-02 14:57:07 +08:00
    @yuzo555 赞同。CC 不同于流量攻击,理论上是需要 3 次握手,并且走 https 相关的流程。 如果是完全仿冒的 IP ,那都没法进行这些“高层级”的会话。
    shiji
        9
    shiji  
       2023-11-02 14:57:43 +08:00 via iPhone
    十万这才哪到哪。百度改个 js 文件就能上亿。这些 ip 不一定非得是肉鸡。
    IP spoofing 几乎不能在 TCP 层面实现。可以排除。
    你看看日志的 ip 记录逻辑是什么,确定一下来源。
    mrco
        10
    mrco  
    OP
       2023-11-02 14:58:57 +08:00
    @wy315700 我们 9 月 9 日开始,每天差不多 10 万肉鸡,产生~ 40k qps ,被攻击 7 天,国内外都有。
    mrco
        11
    mrco  
    OP
       2023-11-02 15:00:00 +08:00
    @shiji 各种 ip 都有,移动城域网 ip 居多
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   977 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 20:29 · PVG 04:29 · LAX 12:29 · JFK 15:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.