什么是udp攻击?UDP flooding攻击是一种基于主机的拒绝服务攻击。UDP是一种无连接协议,它不需要任何程序来建立连接传输数据。当攻击者随机向受害系统的端口发送UDP数据包时,可能会发生UDP泛洪攻击。当受害系统收到UDP数据包时,它将确定目的端口正在等待的应用程序。当它发现端口中没有等待的应用程序时,就会生成一个目的地址无法连接的互联网控制消息协议,并发送给伪造的源地址。如果足够多的UDP数据包被发送到受害者的计算机端口,整个系统将会瘫痪。
UDP泛洪攻击的防范
在网络关键点使用防火墙过滤来源不明的有害数据,可以有效减少UDP洪泛攻击。此外,应在用户网络中采取以下措施:
禁用或过滤监控和响应服务。
禁用或过滤其他UDP服务。
如果用户必须提供一些对UDP服务的外部访问,那么就需要代理机制来保护该服务不被滥用。
监视用户的网络,找出哪些系统正在使用这些服务,并监视滥用的迹象。
UDPFlood是一种日益猖獗的流量DoS攻击,原理非常简单。常见的情况是使用大量UDP包攻击DNS服务器或Radius认证服务器和流媒体文章服务器。100k bps的UDPFlood经常会瘫痪线路上的骨干设备,比如防火墙,导致整个网段瘫痪。由于UDP协议是一种无连接服务,在UDPFLOOD攻击中,攻击者可以发送大量伪造源IP地址的小UDP包。但由于UDP协议是无连接的,只要打开一个UDP端口提供相关服务,就可以攻击相关服务。
正常应用下,UDP包的双向流量会基本相等,大小和内容都是随机的,变化很大。在UDPFlood的情况下,同一个目标IP的大量UDP包出现在一边,内容和大小相对固定。
udp UDPFlood的基本原理是日益猖獗的流量DoS攻击,原理也很简单。常见的情况是使用大量UDP包攻击DNS服务器或Radius认证服务器和流媒体文章服务器。100k bps的UDPFlood经常会瘫痪线路上的骨干设备,比如防火墙,导致整个网段瘫痪。由于UDP协议是一种无连接服务,在UDPFLOOD攻击中,攻击者可以发送大量伪造源IP地址的小UDP包。但由于UDP协议是无连接的,只要打开一个UDP端口提供相关服务,就可以攻击相关服务。
正常应用下,UDP包的双向流量会基本相等,大小和内容都是随机的,变化很大。在UDPFlood的情况下,同一个目标IP的大量UDP包出现在一边,内容和大小相对固定。
Udp攻击原理攻击者通过僵尸网络向目标服务器发送大量UDP报文。这种UDP报文通常是很大的数据包,速率很快,通常会造成以下危害。导致服务器资源耗尽,无法响应正常请求,严重时会导致链路拥塞。
一般的攻击效果是消耗网络带宽资源,严重时造成链路拥塞。
大量来源和端口可变的UDP洪流会导致网络设备依赖会话转发,性能下降甚至会话耗尽,导致网络瘫痪。
如果攻击报文到达服务器开放的UDP服务端口,服务器需要消耗计算资源检查报文的正确性,会影响正常服务。
Udp防御原理UDP Flood association TCP类服务防御
UDP是一种无连接协议,因此无法通过源认证来防御UDP Flood攻击。如果UDP流量需要被TCP流量认证或控制,当UDP流量受到攻击时,相关的TCP流量会被强制启动防御,这个TCP防御产生的白名单会被用来决定是丢弃还是转发来自同一个源的UDP报文。
比如有些服务,比如游戏服务,是先通过TCP协议认证用户,再用UDP协议传输业务数据。此时,我们可以通过验证与UDP关联的TCP服务来防御UDP Flood攻击。当UDP服务受到攻击时,强制启动关联TCP服务的防御,通过关联防御生成TCP白名单,确定同一个源的UDP流量的方向,即允许命中白名单的源的UDP流量通过,否则丢弃。具体防御原理如图1所示。
图1防止与TCP类服务相关的UDP泛洪
负载检查和指纹学习
当攻击包负载具有特征时,可以采用动态指纹学习或特征过滤进行防御。
负载检查:当UDP流量超过阈值时,将触发负载检查。如果UDP报文数据段的内容完全相同,比如数据段的内容都是1,就会被认为是攻击,报文会被丢弃。
指纹学习:当UDP流量超过阈值时,将触发指纹学习。指纹是通过抗DDoS设备的动态学习产生的。在将攻击消息的显著特征学习为指纹之后,匹配指纹的消息将被丢弃。动态指纹学习适用于以下类型的UDP洪水攻击。
消息负载具有明显的特征。
消息负载的内容完全一致。
指纹防御的原理如图2所示。
图2 UDP指纹学习
udp协议的主要保护不同于TCP协议,TCP协议是一种无连接协议,而且UDP应用协议五花八门,变化很大,防UDPFlood的难度很大。它的保护要根据具体情况来对待?
判断包大小,如果是大包攻击,使用UDP分片防范方法:根据攻击包大小设置包分片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP片段。
攻击端口为服务端口:根据服务的UDP最大数据包大小设置UDP最大数据包大小,过滤异常流量。
攻击端口是非业务端口:一是丢弃所有UDP包,可能误伤正常业务;一个是建立UDP连接的规则,要求所有目的地为该端口的UDP数据包必须首先与TCP端口建立TCP连接。但这种方式需要专业防火墙或其他防护设备的支持。
UDP攻击是消耗对方资源以及自己资源的攻击。现在没人用这种过时的东西了。你攻击这个网站,其实是在消耗你的系统资源。说白了就是争夺资源。就看谁的带宽大,谁能坚持到最后。这种攻击方式没有技术含量。引用别人的话,不要以为洪水是万能的。攻击程序在消耗对方资源的同时也在消耗你的资源。
