UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。 100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。由于UDP协议是一种无连接的服务,在UDP FLOOD攻击中,攻击者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行攻击。
正常应用情况下,UDP包双向流量会基本相等,而且大小和内容都是随机的,变化很大。出现UDP Flood的情况下,针对同一目标IP的UDP包在一侧大量出现,并且内容和大小都比较固定。
攻击工具:
53端口(针对DNS服务器)的UDP Flood攻击抓图:
UDP Flood大包攻击(占带宽,分片):
UDP协议与TCP协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待:
金盾防火墙在默认的设置下就能很有效的防御此类攻击,见下图:
金盾防火墙的“防护参数”面板,其中的“UDP保护触发”和“碎片保护触发”这2个设置项就是专门针对此类攻击的防御设置,其中“碎片保护触发”是专门针对UDP碎片攻击的防御设置,默认配置下就能很好的防御UDP Flood类型的攻击了。可以参考:金盾软件防火墙部分界面截图与功能介绍
针对53端口(DNS服务器)UDP攻击的防御,可以查看:UDP DNS Query Flood攻击原理与使用金盾防火墙进行防护
闽公网安备 35020302000839号
公安机关联网备案号 35020301000110
