关于udp-flood攻击描述

关于udp-flood攻击描述

   张吉吉     2019年12月9日 03:21     592    

1、UDP简介

1.png

(1)用户数据报协议;

(2)不对数据段进行编号;

(3)不建立连接,无连接的协议;

(4)网络开销小;

(5)传输速度快;

(6)UDP和TCP一样都必须使用端口号和上层的程序进行通信。

 

2、UDP Flood攻击

攻击者通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害。从而造成服务器资源耗尽,无法响应正常的请求,严重时会导致链路拥塞。

  一般攻击效果是消耗网络带宽资源,严重时造成链路拥塞。

  大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。

如果攻击报文达到服务器开放的UDP业务端口,服务器检查报文的正确性需要消耗计算资源,影响正常业务。

如果系统中并没有UDP端口的时候,受害系统接收到一个UDP数据包,它会确定目的端口正在等待中的应用程序。当它发现该端口中并不存在正在等待的应用程序,它就会产生一个目的地址无法连接的ICMP数据包发送给该伪造的源地址。如果向受害者计算机端口发送了足够多的UDP数据包的时候,整个系统就会瘫痪。

 

3、如何防御

最初防火墙对UDP Flood的防御方式就是限流,通过限流将链路中的UDP报文控制在合理的带宽范围之内。
防火墙上针对UDP Flood的限流有三种:

 (1)基于目的IP地址的限流:即以某个IP地址作为统计对象,对到达这个IP地址的UDP流量进行统计并限流,超过部分丢弃。

(2)基于目的安全区域的限流:即以某个安全区域作为统计对象,对到达这个安全区域的UDP流量进行统计并限流,超过部分丢弃。

 (3)基于会话的限流:即对每条UDP会话上的报文速率进行统计,如果会话上的UDP报文速率达到了告警阈值,这条会话就会被锁定,后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时,防火墙会解锁此会话,后续命中此会话的报文可以继续通过。

       一般的路由器或者防火墙都是采用限流的手段,限制通过的包数。

2.png

       还有比较高端的就是通过指纹学习去限制udp的报文。

指纹学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容,来判定这个UDP报文是否异常。防火墙对到达指定目的地的UDP报文进行统计,当UDP报文达到告警阈值时,开始对UDP报文的指纹进行学习。如果相同的特征频繁出现,就会被学习成指纹,后续命中指纹的报文判定这是攻击报文,作为攻击特征进行过滤。

 

参考

防火墙技术连载11

什么是udp攻击?udp攻击的基本原理是什么


文章评论

0

其他文章