[客座日记] 以干扰分析为乐:蜜罐遭遇伪装DDoS攻击分析
发布:2025-09-23 最后更新:2025-09-23 12:55:18 UTC
作者:Jesse La Grew(版本:1)
[本文是由Taylor House撰写的客座日记,他是SANS.edu应用网络安全学士学位项目的ISC实习生[1]。]
分布式拒绝服务攻击是一种网络攻击方式,攻击者通过向目标发送大量请求以耗尽系统资源,阻止合法流量访问服务。今年3月31日至4月20日期间,我的蜜罐持续遭受通过443端口发送的TCP SYN包轰炸。本文旨在分析这次攻击,并分享观察结果证明表象可能具有欺骗性。
本次攻击共从6039台主机发送了2389339个数据包。攻击分为三波,除了目标端口和设置的标志外没有其他关联。从第一波攻击中取样发现每个数据包具有以下特征:
- 总长度为60字节
- 使用TCP协议目标端口443
- 仅设置SYN标志
- 窗口大小为32768
- 最大分段大小为1460字节
- 以太网头部包含2字节填充的尾部
图1. Wireshark显示第一波攻击数据包样本
第一波攻击
第一波攻击发生在3月31日至4月4日,从743台主机发送了647069个数据包。该波次前十名主机为:
| 主机 | 数据包数量 |
|---|---|
| 103.15.246.198 | 1030 |
| 103.15.247.87 | 1028 |
| 103.15.247.17 | 1028 |
| … | … |
绝大多数主机位于IP地址范围103.15.245.0-103.15.247.99内。其中36台主机有域名记录,这些主机均分配给孟加拉国的ISP Summit Communications。
精心构造的数据包?
这可能是僵尸网络的结果。但由于只有少数主机有域名或明显暴露的服务,另一种可能是连接被伪造。数据包大小和属性的一致性表明这可能使用了Scapy等工具进行包伪造。
第二波攻击
第二波发生在4月7日至14日,从1054台主机发送了885209个数据包。大多数主机来自伊拉克ISP ScopeSky的IP范围。
第三波攻击
第三波发生在4月16日至20日,从4242台主机发送了857061个数据包。96%的主机来自伊拉克和阿联酋的ISP。
这真的是DDoS攻击吗?
虽然蜜罐共收到2389339个数据包,但这不足以中断现代服务。本次攻击的包速率远低于典型DDoS攻击水平。
经验教训
分析表明:包伪造可能被用于掩盖攻击者真实IP;由于包量和速率都太低,合法的SYN洪水攻击可能性很小;流量来源极不可能是真实的。
另一种可能是所有这些流量都是为其他攻击制造的烟幕弹。攻击者可以轻松伪造网络流量制造噪音日志,而真正的攻击可能通过其他方式进行。
关键词: crafted packets ddos git scanning scapy