UDP Flood是日漸猖厥的流量型DoS攻擊，原理也很簡(jiǎn)單。常見(jiàn)的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。

成都創(chuàng)新互聯(lián)10多年企業(yè)網(wǎng)站制作服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì)及高端網(wǎng)站定制服務(wù),企業(yè)網(wǎng)站制作及推廣,對(duì)酒店設(shè)計(jì)等多個(gè)領(lǐng)域擁有多年的網(wǎng)站制作經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。

100k pps的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDP FLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無(wú)連接性的，所以只要開(kāi)了一個(gè)UDP的端口提供相關(guān)服務(wù)的話，那么就可針對(duì)相關(guān)的服務(wù)進(jìn)行攻擊。

正常應(yīng)用情況下，UDP包雙向流量會(huì)基本相等，而且大小和內(nèi)容都是隨機(jī)的，變化很大。出現(xiàn)UDP Flood的情況下，針對(duì)同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。

DNS Query Flood攻擊原理

UDP DNS Query Flood攻擊實(shí)質(zhì)上是UDP Flood的一種，但是由于DNS服務(wù)器的不可替代的關(guān)鍵作用，一旦服務(wù)器癱瘓，影響一般都很大。比如創(chuàng)新互聯(lián)就提供封國(guó)外和UDP的高防御服務(wù)器。

UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請(qǐng)求，通常請(qǐng)求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名，被攻擊的DNS 服務(wù)器在接收到域名解析請(qǐng)求的時(shí)候首先會(huì)在服務(wù)器上查找是否有對(duì)應(yīng)的緩存，如果查找不到并且該域名無(wú)法直接由服務(wù)器解析的時(shí)候，DNS 服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢(xún)域名信息。域名解析的過(guò)程給服務(wù)器帶來(lái)了很大的負(fù)載，每秒鐘域名解析請(qǐng)求超過(guò)一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。

DNS Query Flood就是攻擊者操縱大量傀儡機(jī)器，對(duì)目標(biāo)發(fā)起海量的域名查詢(xún)請(qǐng)求。為了防止基于ACL的過(guò)濾，必須提高數(shù)據(jù)包的隨機(jī)性。常用的做法是UDP層隨機(jī)偽造源IP地址、隨機(jī)偽造源端口等參數(shù)。在DNS協(xié)議層，隨機(jī)偽造查詢(xún)ID以及待解析域名。隨機(jī)偽造待解析域名除了防止過(guò)濾外，還可以降低命中DNS緩存的可能性，盡可能多地消耗DNS服務(wù)器的CPU資源。

根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)，一臺(tái)DNS服務(wù)器所能承受的動(dòng)態(tài)域名查詢(xún)的上限是每秒鐘9000個(gè)請(qǐng)求。而我們知道，在一臺(tái)P3的PC機(jī)上可以輕易地構(gòu)造出每秒鐘幾萬(wàn)個(gè)域名解析請(qǐng)求，足以使一臺(tái)硬件配置極高的DNS服務(wù)器癱瘓，由此可見(jiàn)DNS 服務(wù)器的脆弱性。同時(shí)需要注意的是，蠕蟲(chóng)擴(kuò)散也會(huì)帶來(lái)大量的域名解析請(qǐng)求。

UDP DNS Query Flood防御

在UDP Flood的基礎(chǔ)上對(duì) UDP DNS Query Flood 攻擊進(jìn)行防護(hù)

根據(jù)域名 IP 自學(xué)習(xí)結(jié)果主動(dòng)回應(yīng)，減輕服務(wù)器負(fù)載（使用 DNS Cache）

對(duì)突然發(fā)起大量頻度較低的域名解析請(qǐng)求的源 IP 地址進(jìn)行帶寬限制

在攻擊發(fā)生時(shí)降低很少發(fā)起域名解析請(qǐng)求的源 IP 地址的優(yōu)先級(jí)

限制每個(gè)源 IP 地址每秒的域名解析請(qǐng)求次數(shù)

創(chuàng)新互聯(lián)建站宿遷/濟(jì)南/廈門(mén)等多地的高防云服務(wù)器/高防彈性云以及高防獨(dú)立服務(wù)器，以便客戶(hù)的選擇和需求。

廈門(mén)三線BGP 4核8線程 G口50M獨(dú)享 150G防御（不封國(guó)外和UDP）1549元

杭州三線BGP 高防I7 G口100M獨(dú)享 250G防御（不封國(guó)外和UDP）1999元

詳情可咨詢(xún)官網(wǎng)客服：631063699

網(wǎng)頁(yè)標(biāo)題：網(wǎng)絡(luò)安全：為什么封UDP端口可以避免部分攻擊？
分享網(wǎng)址：http://weahome.cn/article/spcig.html