UDP Flood攻击
本文转载自华为企业互动社区
大家好,强叔又来了!上一期,强叔给大家介绍了SYN Flood的攻击和防御,本期强叔将带领大家一起来学习一下另一种常见的流量型攻击:UDP Flood。
讲UDP Flood之前,强叔还是先从UDP协议讲起。在讲SYN Flood的时候,我们知道了TCP协议是一种面向连接的传输协议。但是UDP协议与TCP协议不同, UDP是一个无连接协议。使用UDP协议传输数据之前,客户端和服务器之间不建立连接,如果在从客户端到服务器端的传递过程中出现数据的丢失,协议本身并不能做出任何检测或提示。因此,通常人们把UDP协议称为不可靠的传输协议。
既然UDP是一种不可靠的网络协议,那么还有什么使用价值或必要呢?其实不然,在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能,但是在实际执行的过程中会占用大量的系统开销,无疑使传输速度受到严重的影响。反观UDP,由于排除了信息可靠传递机制,将安全和排序等功能移交给上层应用来完成,极大降低了执行时间,使传输速度得到了保证。
正是UDP协议的广泛应用,为黑客们发动UDP Flood攻击提供了平台。UDP Flood属于带宽类攻击,黑客们通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害:
- 消耗网络带宽资源,严重时造成链路拥塞。
- 大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。
防火墙对UDP Flood的防御并不能像SYN Flood一样,进行源探测,因为它不建立连接。那应该怎么防御呢?
最初防火墙对UDP Flood的防御方式就是限流,通过限流将链路中的UDP报文控制在合理的带宽范围之内。
防火墙上针对UDP Flood的限流有三种:
- 基于目的IP地址的限流:即以某个IP地址作为统计对象,对到达这个IP地址的UDP流量进行统计并限流,超过部分丢弃。
- 基于目的安全区域的限流:即以某个安全区域作为统计对象,对到达这个安全区域的UDP流量进行统计并限流,超过部分丢弃。
- 基于会话的限流:即对每条UDP会话上的报文速率进行统计,如果会话上的UDP报文速率达到了告警阈值,这条会话就会被锁定,后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时,防火墙会解锁此会话,后续命中此会话的报文可以继续通过。
限流虽然可以有效缓解链路带宽的压力,但是这种方式简单粗暴,容易对正常业务造成误判。为了解决这个问题,防火墙又进一步推出了针对UDP Flood的指纹学习功能。
仔细分析,不难发现,UDP Flood攻击报文具有一定的特点,这些攻击报文通常都拥有相同的特征字段,比如都包含某一个字符串,或整个报文内容一致。这些字段来自于DDoS工具自带的默认字符串,所以防火墙是通过收集这些字符串来检测UDP Flood。这种防御算法在现网使用很多,主要因为黑客为了加大攻击频率,快速、长时间挤占攻击目标所在网络带宽,在使用攻击工具实现时直接在内存存放一段内容,然后高频发送到攻击目标,所以攻击报文具有很高的相似性。而正常业务的UDP报文一般每个报文负载内容都是不一样的,这样可以减少误判。
从下面的抓包中可以看出,到达相同目的IP地址的两个UDP报文的载荷是完全一样的,如果防火墙收到大量的类似这样的UDP报文,那么就有可能是发生了UDP Flood攻击。
指纹学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容,来判定这个UDP报文是否异常。防火墙对到达指定目的地的UDP报文进行统计,当UDP报文达到告警阈值时,开始对UDP报文的指纹进行学习。如果相同的特征频繁出现,就会被学习成指纹,后续命中指纹的报文判定这是攻击报文,作为攻击特征进行过滤。
强叔再给大家总结一下,防火墙防御UDP Flood攻击主要有两种方式:限流和指纹学习,两种方式各有利弊。限流方式属于暴力型,可以很快将UDP流量限制在一个合理的范围内,但是不分青红皂白,超过就丢,可能会丢弃一些正常报文;而指纹学习属于理智型,不会随意丢弃报文,但是发生攻击后需要有个指纹学习的过程。目前,指纹学习功能是针对UDP Flood攻击的主流防御手段,在华为防火墙产品中广泛应用。
强叔提问
大家之前有没有配置过防火墙的UDP Flood防御功能?在配置过程中有遇到过什么样的问题吗?
UDP Flood攻击相关推荐
- UDP Flood攻击实验
本实验方法一定不要用来攻击公网的服务器,仅能在自己的虚拟机里进行操作!不然可能构成违法行为,大家一定注意!!!!! 实验准备: Kali虚拟机: win10虚拟机: Win 2016 servers虚 ...
- SYN,ICMP, UDP Flood攻击原理与防护
DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络服务器的安全威胁之一.2000年2月,Ya ...
- UDP Flood攻击防御原理
UDP Flood攻击防御原理 一.UDP Flood攻击原理 二.UDP Flood防御 一.UDP Flood攻击原理 UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单.常见的情况是利 ...
- UDP FLood拒绝服务攻击
目录 实验前言 实验环境 实验配置 实验过程 ip地址 攻击机 靶机 查看 防御 实验前言 由于没有电子版对应实验报告,就简单记录下这次的实验. 原本我打算利用天网防火墙进行安装靶机上,但发现天网防火 ...
- phpddos应对 最近新起一种udp flood的攻击形式
phpddos应对 最近新起一种udp flood的攻击形式,是利用php中的fsockopen函数往特定机器发送大量UDP包,耗费大量流量,直到网络瘫痪. php当前只支持用allow_url_fo ...
- 黑客学习-中断攻击:UDP Flood拒绝服务攻击与防范
一.中断攻击了解 网络攻击是指任何非授权而进入或试图进入他人计算机网络的行为,是入侵者实现入侵目的所采取的技术手段和方法 根据实施方法差异,分为主动攻击和被动攻击,主动攻击是指攻击者为了实现攻击目的, ...
- DDOS SYN Flood攻击、DNS Query Flood, CC攻击简介——ddos攻击打死给钱。限网吧、黄网、博彩,,,好熟悉的感觉有木有...
摘自:https://zhuanlan.zhihu.com/p/22953451 首先我们说说ddos攻击方式,记住一句话,这是一个世界级的难题并没有解决办法只能缓解 DDoS(Distributed ...
- TCP/IP:TCP SYN Flood攻击原理与实现
目录 三次握手过程 SYN Flood攻击原理 SYN Flood攻击实验 1. 初始化 IP 头部 2. 初始化 TCP 头部 3. 初始化 TCP 伪首部 4. 构建 SYN 包 5. 创建原始套 ...
- php攻击方式及防御方法,Syn Flood 攻击 及其一般防御方法
防火墙通知受到Syn Flood攻击,并解释说: A SYN Flood is an attempt to consume memory and resources. A Normal TCP/IP ...
最新文章
- Oracle数据库安装响应文件,1.2.6 步骤6:配置应答文件,然后运行安装程序(2)...
- 有向图的广度优先遍历_图的两种遍历方式
- datagridview滚动条自动滚动_掘金上摸鱼的新发现,无限滚动(infinitescroll)
- 微软P2V工具之Disk2VHD
- iPhone 13与12对比图曝光:更厚、更大了
- 为什么机器学习很难学习因果关系?
- 计算机软件的前景,2020计算机软件专业就业前景如何?
- 台达人机界面编程小技巧之合理使用偏移地址
- 飞鸽传书 linux,飞鸽传书Linux版
- golang实现人民币小写转大写
- C++入门经典 Ivor Horton 第3版
- 获取当前月份的最后一天
- DeepLink的实现原理
- LWIP+ENC28J60长时间运行后无法访问外网服务器
- 微信小程序(PHP服务端)之仿淘票票,制作电影购票程序
- struts2+spring3+hibernate4
- 权威杂志评选出的十个最伟大的公式
- 软件需求规格说明书的编写指南
- 【第十届“泰迪杯”数据挖掘挑战赛】B题:电力系统负荷预测分析第一问LSTM模型的建立
- 这些4K手机、电脑壁纸网站,你一定要知道
热门文章
- c语言中鱼贯指针的编程题,泡面吧 IT宅男如何打造编程教学网站
- android+ios+账号互通,原神数据互通吗?PC安卓iOS账号通用情况说明
- 高度近视患者担心视网膜脱落,是不是杞人忧天?
- kal linux 刻录光盘,kali linux安装之旅
- Code Clinic: R 代码诊所:R语言 Lynda课程中文字幕
- 数理统计之协方差矩阵
- ubuntu系统禁用自带Nouveau驱动
- ticwatch能支持鸿蒙吗,我的廉价表盒 篇二:过气的智能手表?出门问问Ticwatch2 一年半断断续续的使用体验...
- java array缓存_有java数组
- 计算机网络应用押韵句,沙雕押韵很可爱的rap的句子 笑掉大牙的押韵句子