帮助中心

当前位置: 首页  >> 帮助中心  >> 常见问题  >> 查看详情

UDP FLOOD攻击原理及解决办法

点击: 604次 时间: 2022-03-08 21:19:50
UDP FLOOD攻击原理及解决办法

“UDP flood”是一种拒绝服务(DoS)攻击,攻击者利用包含UDP数据报的IP数据包淹没目标主机上的随机端口。

接收主机检查与这些数据报相关联的应用程序,并且 - 找不到 - 发送回“目标无法到达”数据包。随着越来越多的UDP数据包被接收和应答,系统变得不堪重负并且对其他客户端没有响应。

在UDP泛洪攻击的框架内,攻击者还可能欺骗数据包的IP地址,以确保返回的ICMP数据包不会到达其主机,并使攻击匿名化。有许多商业上可用的软件包可用于执行UDP泛洪攻击(例如,UDP Unicorn)。

UDP FLOOD攻击描述

用户数据报协议(UDP)是一种无连接和无会话的网络协议。由于UDP流量不需要像TCP那样的三次握手,因此它运行时开销较低,非常适合不需要检查和重新检查的流量,例如聊天或VoIP。

但是,这些相同的属性也使UDP更容易被滥用。在没有初始握手的情况下,为了建立有效连接,可以通过UDP信道向任何主机发送大量“尽力而为”的流量,而没有内置保护来限制UDP DoS洪泛的速率。这意味着UDP泛洪攻击不仅非常有效,而且还可以在相对较少的资源的帮助下执行。

一些UDP泛洪攻击可以采取DNS放大攻击的形式。UDP没有定义特定的数据包格式,因此攻击者可以创建大数据包(有时超过8KB),用垃圾文本或数字填充它们,并将它们发送给受攻击的主机。

当受攻击的主机收到垃圾填充的UDP数据包到给定端口时,它会检查在该端口侦听的应用程序,该应用程序与数据包的内容相关联。当它发现没有关联的应用程序正在侦听时,它会回复ICMP Destination Unreachable数据包。

应该注意,放大和非放大的UDP洪水都可以源自各种大小的僵尸网络集群。使用多台计算机会将此攻击归类为分布式拒绝服务(DDoS)威胁。通过这种攻击,罪犯的目标是过度防火墙和更具弹性的网络基础设施的其他组件。

UDP FLOOD攻击解决办法

在最基本的层面上,大多数操作系统都试图通过限制ICMP响应的速率来缓解UDP泛洪攻击。但是,这种无差别的过滤会对合法流量产生影响。

传统上,UDP缓解方法还依赖于过滤掉或阻止恶意UDP数据包的防火墙。然而,这些方法现在变得无关紧要,因为现代高容量攻击可以简单地过度防火,而防火墙的设计并未考虑到过度配置。

公司DDoS保护利用Anycast技术来平衡其全局高性能清理服务器网络中的攻击负载,并在其中进行深度数据包检测(DIP)过程。

使用专门用于内联流量处理的专有清理软件,系统根据IP信誉,异常属性和可疑行为等因素的组合识别和过滤掉恶意DDoS数据包。

处理在边缘执行,并且零延迟,仅允许干净的流量到达源服务器。

  • 24H在线
  • Tg纸飞机