来自机房荣耀：T级防御成功案例-技术分析

从攻击带宽大小来看，这个攻击峰值其实算不上很高(早在2018年腾讯云就曾为某客户成功防护峰值1.23Tbps的DDoS攻击)。但经过团队仔细分析攻击手法和流量构成后确认这帮黑客实际是根据业务特征和弱点，精心策划的针对性的攻击，可谓有备而来。从以下3点可以明显看出：

1、熟悉业务，量身定做

根据统计，现网的攻击者往往更喜欢用UDP反射（占现网80%以上），但我们发现这帮黑客却从未使用。因为他们知道游戏业务是基于TCP协议，所以防护方肯定会在防护系统上禁用UDP，而且云厂商可以与运营商定制ACL，在运营商骨干网直接封禁UDP协议，攻击流量再大往往也是徒劳。所以黑客很聪明，精力都花在研究TCP攻击上，并为业务量身定制攻击方案。

2、深谙攻防，手法刁钻

黑客在制定TCP攻击方案时无不表现出对DDoS攻防技术的深入理解，挑选的大多是业界公认防护难度最大的攻击手法，包括：TCP反射、TCP连接攻击、TCP四层CC、HTTP CC等(详细数据见图3)。这些攻击流量大多基于完整的TCP连接或者存在合法的协议栈行为，甚至可以突破传统的DDoS防护策略，对防护方带来巨大的挑战，也对游戏业务乃至平台稳定带来严重的威胁。

3. 兵不厌诈，专攻瓶颈

TCP是基于连接的协议，所以在TCP攻击防护对抗时，服务器的连接数上线经常会成为防护防的瓶颈，而黑客似乎深知这一点，通过调用大量肉鸡发起低频的连接请求，通过很小的流量来耗尽服务器连接，这无疑使得防护难度大大提升，不得不说这帮黑客实在不讲武德。

面对准备充足、技术能力强的黑客攻击，宙斯盾防护团队如何逐一击破，保障业务和平台稳定的？接下来将详细分享。

0x03 TCP反射：自研防护算法

TCP反射实际并不是一种新颖的攻击手法，宙斯盾团队早在2018年就发布了业界首篇技术文章《无心插柳还是有意为之：TCP反射DDoS攻击手法深入分析2.0》，阐述该种手法的原理和危害。

而由于这种攻击手法存在协议栈行为，传统的反向挑战、协议栈行为检查等思路难以凑效，使得这种手法越来越受到黑产的青睐，终于在2020年Q3在云上爆发。根据宙斯盾统计，TCP反射当前全网攻击次数从原来10+次/天上涨至1400+次/天，流量峰值从原来10+Gbps暴增至500+G，由此可见TCP反射已成为无法忽视的安全难题，且定必愈发泛滥。