隱秘的角落——基于某款游戲利用的反射攻擊分析

背景

從十月份開始，宙斯盾團隊防護下的某款游戲業務持續遭受攻擊，在對抗過程中，壞人不斷變換攻擊手法，包括且不限于四層連接攻擊、七層CC攻擊、TCP反射攻擊、常規UDP反射和漏洞利用型DoS攻擊。如此持之以恒的嘗試背后，是巨大獲利的驅動力存在。為了更加主動的感知到外部攻擊手法的持續變化，團隊針對此業務的網絡流量進行了進一步的安全分析。

在近日，通過此流量安全分析機制，我們及時感知到了一個新手法的出現：基于某游戲的反射攻擊。其主要利用早期游戲(Wolfenstein Enemy Territory、Cod4、Quake 3等）的聯機網絡對戰功能發起，攻擊流量規模并不大，較為隱秘。于此，我們將相關情況整理同步、分享與業界同行。

Part 1. 異常流量分析

1. 樣本分析

通過流量抓取分析，本次反射攻擊源端口不固定，部分報文命中wireshark的端口規則被標記為quake3協議，包長范圍423-1312，如下圖所示：

與正常業務流量的私有二進制協議數據相比，攻擊數據包的內容字符肉眼可讀，其中幾個字段能明顯看出是游戲服務,如”version ET 2.60b / ET 3.00”，”mod version 0.9.0”,”ganmename”，” g_minGameClients”。

進一步搜索，查到某款經典游戲《Wolfenstein Enemy Territory》，縮寫為ET，和抓包里的關鍵詞匹配。根據協議類型quake3，查到游戲《雷神之錘3》。兩個游戲同屬同一家母公司，猜測這兩個游戲使用了相同的底層引擎和協議規范。

同時分析捕獲到的攻擊源端口情況，發現大部分源ip端口存活開啟，小部分源ip端口關閉。查找資料發現這里存在兩種對戰服被用作攻擊源：（1）長期租用公網服務器搭建的類似私服的對戰局；（2）個人臨時開啟的對戰局。

2. 攻擊復現

《Wolfenstein Enemy Territory》（本次分析以此游戲為例，其他幾個游戲原理類似）為《Return to Castal Wolfenstein》網絡對戰內容免費資料片，發行于2003年（和cs1.6同年代），支持linux/win/mac三種操作系統。

為了進一步復現分析，我們下載了ET游戲，進入網戰平臺，并對游戲交互進行了流量分析。

（1）查詢get new list ，會觸發一個UDP請求操作（請求游戲自身服務器返回room列表），如下：

（2）查詢server info，數據交互過程如下：

Payload詳情如圖6，通過對比圖2，發現報文結構和特征一致（根據不同版本和是否打mod，返回的信息略有不同），所以可以判斷本次攻擊是利用了《Wolfenstein Enemy Territory》客戶端創建的對戰房間作為反射源，進行的DDoS反射放大攻擊。

交互報文內容細節如下圖：

在查詢server詳情操作過程中，客戶端只向對戰房主的公網ip發送固定字段”getstatus”，而作為對戰房主機器并不做任何校驗，直接返回對戰房間信息。請求和返回數據大小成倍數關系，此手法正是利用了協議交互的這一特點實現了流量的反射放大。

3. 反射放大倍數分析

攻擊主要利用查詢server info操作發起的DDoS反射放大，直接用完整的UDP請求包和響應包相比，放大倍數1312/57≈23倍。

4. 溯源分布情況

大部分來自歐美（以現網捕獲為統計）

Part 2. 游戲對局類反射趨勢

由于近年來公共網絡服務建設在安全方面越來越規范，利用公共基礎設施發起反射的門檻變高，同時此類公共基礎服務發起的反射，網絡層特征明顯，很容易被過濾。如18年很火的memcached反射近一年內的頻率降低了許多。因此黑客也在不斷尋找別的替代攻擊方式企圖繞過現有防御系統，本次利用W.ET游戲的反射攻擊就是其中一種探索。

對比業界分析其他幾種對局類反射，總結他它們的共同點如下圖所示：

防御游戲對局反射放大的難點：

（1）報文特征

源ip不固定，源端口在一定范圍內隨機，基于網絡設備的acl特征拉黑容易誤傷；

（2）游戲眾多，隱蔽性高

比如業界之前發現的使用A2S_INFO協議（Dota2、反恐精英、求生之路、Aram）以及call >of duty2/4版本端游，都可能存在此問題；

（3）混合攻擊

單獨一個游戲可利用的反射源有限（筆者在凌晨0點搜索發現房間數為40-50個），但是現
網已經檢測到混合多個游戲發起攻擊的情況；

（4）漏洞修復困難

該類型游戲已經發行多年，在當時反射放大攻擊并未進入公眾視線，所以開發者未考慮被利用發起DDoS的安全問題。且游戲早已過了生命旺盛周期，無人針對漏洞進行修復；

Part 3. 攻擊防護建議

綜上，此次的攻擊手法仍然是利用UDP無狀態協議、服務端返回包遠大于請求包的特點。在防范上，我們建議參考下面方式進行安全加固以及防護能力提升，以減少業務側被攻擊風險。

（1）禁用不必要UDP服務和端口，減少威脅暴露面；

（2）利用上游路由器或防火墻四層ACL過濾功能，攔截對應端口的UDP報文；

（3）利用安全設備七層過濾功能，攔截對應攻擊特征的UDP報文；

（4）對戰反射源基本位于國外，若無海外業務，可選擇基于Geo-IP對海外源IP流量進行封禁；

（5）選擇接入專業的DDoS安全防護服務（如騰訊云T-Sec DDoS高防服務）。

Part 4. 尾聲

兵無常勢，水無常形，黑客攻擊方式、手法也在隨著業務的發展、技術的變革而不斷改變，攻防對抗的難度也隨之不斷升級；唯有一直緊跟技術、業務發展趨勢，持續不斷進階，才能在安全攻防對抗中取得先機。故而，安全無小事，一手建立起主動的流量安全分析和感知能力，一手建立起全面的安全防護體系，才有可能防微杜漸、防范于未然。

原創：指玄 騰訊安全應急響應中心
原文鏈接：https://mp.weixin.qq.com/s/AGo6bbI82LmapRY...