企业官网建设流程全解析

网站开发报价表,建设邮费自己的网站_要不要购买服务器的,dw做网站背景图片设置,免费公司宣传册设计样本文章目录UDP Flood是如何发生的如何防御UDP FloodUDP Flood是互联网上最经典的DDoS#xff08;Distributed Denial of Service#xff09;攻击之一。攻击者在短时间内向目标设备发送大量的UDP报文#xff0c;导致链路拥塞甚至网络瘫痪。一般的UDP报文由攻击工具伪造#xf…文章目录UDP Flood是如何发生的如何防御UDP FloodUDP Flood是互联网上最经典的DDoSDistributed Denial of Service攻击之一。攻击者在短时间内向目标设备发送大量的UDP报文导致链路拥塞甚至网络瘫痪。一般的UDP报文由攻击工具伪造通常在数据段具备相同的特征另一部分由真实网络设备发出的UDP报文虽然数据段不相同但固定的目的端口也可作为一种特征。确定UDP攻击报文的特征后即可根据特征进行过滤。特征过滤就是常说的指纹过滤可根据攻击报文的特征自定义过滤属性。指纹过滤包括静态指纹过滤和动态指纹学习两种方法。UDP Flood是如何发生的顾名思义UDP Flood是指用洪水一样的UDP报文进行攻击。不同于TCP协议UDP协议是一种无连接的协议使用UDP协议传输报文之前客户端和服务器之间不建立连接如果在从客户端到服务器端的传递过程中出现报文的丢失协议本身也不做任何检测或提示。这种报文处理方式决定了UDP协议资源消耗小、处理速度快在被广泛应用的同时也为攻击者发动UDP Flood攻击提供了可能。传统UDP Flood攻击是一种消耗攻击和被攻击双方资源的带宽类攻击方式。攻击者通过僵尸网络向目标设备发送大量伪造的UDP报文这种报文一般为大包且速率非常快通常会造成链路拥塞甚至网络瘫痪的危害。这种攻击方式由于技术含量较低现在已经越来越少被使用。传统UDP Flood攻击示意图近几年来越来越多的攻击者选择使用UDP反射放大攻击。UDP反射放大攻击有两个特点一是属于UDP协议二是目的端口号固定。UDP反射放大攻击的原理类似以常见的NTPNetwork Time Protocol反射放大攻击为例其有两个关键点反射和放大。反射攻击在UDP协议中正常情况下客户端发送请求包到服务器服务器返回响应包给客户端一次交互就已完成中间没有校验过程。反射攻击正是利用了UDP协议面向无连接、缺少源认证机制的特点将请求包的源IP地址篡改为攻击目标的IP地址最终服务器返回的响应包就会被送到攻击目标形成反射攻击。反射攻击示意图放大攻击攻击者通常利用互联网的基础架构来进行放大攻击。由于网络中开放的NTP服务器非常多攻击者会利用僵尸主机同时向NTP服务器发起大量的Monlist请求1个Monlist请求包可以引发100个响应包。通常1个NTP请求包只有90字节的大小而1个回应报文通常为482字节100个回应报文就是48200字节可以发现回应报文是请求报文的500倍左右这就形成了四两拨千斤的放大攻击最终造成链路拥塞甚至网络瘫痪。放大攻击示意图如何防御UDP Flood由于UDP协议不建立连接对UDP Flood的防御并不能像SYN Flood一样进行源探测。最初防火墙对UDP Flood的防御方式就是限流将链路中的UDP报文控制在合理的带宽范围之内可基于目的IP地址、目的安全区域和会话进行限流。虽然限流可以有效缓解链路带宽的压力但这种方式可能会丢弃一些正常报文因此需要新的手段防御UDP Flood。由攻击工具伪造的攻击报文通常都拥有相同的特征字段比如都包含某一字符串或整个报文内容一致而对于UDP反射放大攻击中那些由真实网络设备发出的报文在数据段不具备相同特征但其目的端口都是固定的所以不难发现UDP Flood攻击报文都具有一定的特征。确定攻击报文的特征后即可进行过滤特征过滤也就是常说的指纹过滤。指纹过滤包括静态指纹过滤和动态指纹学习两种方法。指纹过滤示意图静态指纹过滤UDP报文的数据段、源IP地址、源端口、目的IP地址、目的端口都可能隐藏着攻击报文的特征。对于已知的攻击特征可以直接配置到设备的过滤器参数中。配置了静态指纹过滤后会对收到的报文进行特征匹配对于匹配到攻击特征的报文进行丢弃、限流等下一步操作。动态指纹学习在攻击特征未知的情况下可通过动态指纹学习进行攻击防御。对于一些攻击工具发起的UDP Flood攻击攻击报文通常都拥有相同的特征字段指纹学习就是对一些有规律的UDP Flood攻击报文进行统计和特征识别当报文达到告警阈值时则开始进行指纹学习。如果相同的特征频繁出现就会被学习成指纹后续命中指纹的报文则被判定为攻击报文进行丢弃、限流等后续操作。