黑客是怎么进行“变种”TCP反射攻击的?该怎么进行防御呢?下面就来讲讲“变种”TCP反射攻击和防御思路。

攻击原理：

第一步：攻击者发动TCP反射攻击，伪造攻击目标IP向公网服务器发起SYN请求。由于参与TCP反射攻击的公网服务器IP均为真实服务，返回的SYN-ACK包可以通过DDoS防火墙的源认证，直接达到攻击目标IP处，同时将服务器IP加入白名单(白名单内的IP发送的数据包将直接被放行)。

第二步：攻击者实施SYN Flood攻击，伪装公网服务器IP(第一步中参与TCP反射攻击的公网服务器IP)向攻击目标源IP发送大量SYN数据包，由于攻击使用IP已经处于白名单内，因此SYN数据包穿透DDoS防御系统，直接传至攻击目标IP处，最大化DDoS攻击效果。

防御思路：

1. 针对“变种”TCP反射攻击的防御，限制数据包类型，例如服务器IP通过syn-ack的认证，就封禁该IP其他类型数据包通过，只允许syn-ack数据包通过。

2. 如果业务中是确实有服务器需要对外访问接受SYN-ACK回包，可以将源站IP加白，因为源站IP可能是可枚举的。

3. 接入上海云盾的云/端安全加速产品。上海云盾历经十年线上线下的实战，对各类DDoS攻击均有针对性的防御算法，帮助客户实现安全看得清、威胁防得住、攻击追得到的全生命周期安全闭环，满足合规要求，同时支持对接企业自有中心系统。

查看更多资讯请关注bwmd下载站