網(wǎng)絡(luò)安全：為什么封UDP端口可以避免部分攻擊？

UDP Flood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。

成都創(chuàng)新互聯(lián)10多年企業(yè)網(wǎng)站制作服務(wù);為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁設(shè)計(jì)及高端網(wǎng)站定制服務(wù),企業(yè)網(wǎng)站制作及推廣,對酒店設(shè)計(jì)等多個(gè)領(lǐng)域擁有多年的網(wǎng)站制作經(jīng)驗(yàn)的網(wǎng)站建設(shè)公司。

100k pps的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。由于UDP協(xié)議是一種無連接的服務(wù)，在UDP FLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要開了一個(gè)UDP的端口提供相關(guān)服務(wù)的話，那么就可針對相關(guān)的服務(wù)進(jìn)行攻擊。

正常應(yīng)用情況下，UDP包雙向流量會(huì)基本相等，而且大小和內(nèi)容都是隨機(jī)的，變化很大。出現(xiàn)UDP Flood的情況下，針對同一目標(biāo)IP的UDP包在一側(cè)大量出現(xiàn)，并且內(nèi)容和大小都比較固定。

DNS Query Flood攻擊原理

UDP DNS Query Flood攻擊實(shí)質(zhì)上是UDP Flood的一種，但是由于DNS服務(wù)器的不可替代的關(guān)鍵作用，一旦服務(wù)器癱瘓，影響一般都很大。比如創(chuàng)新互聯(lián)就提供封國外和UDP的高防御服務(wù)器。

UDP DNS Query Flood攻擊采用的方法是向被攻擊的服務(wù)器發(fā)送大量的域名解析請求，通常請求解析的域名是隨機(jī)生成或者是網(wǎng)絡(luò)世界上根本不存在的域名，被攻擊的DNS 服務(wù)器在接收到域名解析請求的時(shí)候首先會(huì)在服務(wù)器上查找是否有對應(yīng)的緩存，如果查找不到并且該域名無法直接由服務(wù)器解析的時(shí)候，DNS 服務(wù)器會(huì)向其上層DNS服務(wù)器遞歸查詢域名信息。域名解析的過程給服務(wù)器帶來了很大的負(fù)載，每秒鐘域名解析請求超過一定的數(shù)量就會(huì)造成DNS服務(wù)器解析域名超時(shí)。

DNS Query Flood就是攻擊者操縱大量傀儡機(jī)器，對目標(biāo)發(fā)起海量的域名查詢請求。為了防止基于ACL的過濾，必須提高數(shù)據(jù)包的隨機(jī)性。常用的做法是UDP層隨機(jī)偽造源IP地址、隨機(jī)偽造源端口等參數(shù)。在DNS協(xié)議層，隨機(jī)偽造查詢ID以及待解析域名。隨機(jī)偽造待解析域名除了防止過濾外，還可以降低命中DNS緩存的可能性，盡可能多地消耗DNS服務(wù)器的CPU資源。

根據(jù)微軟的統(tǒng)計(jì)數(shù)據(jù)，一臺(tái)DNS服務(wù)器所能承受的動(dòng)態(tài)域名查詢的上限是每秒鐘9000個(gè)請求。而我們知道，在一臺(tái)P3的PC機(jī)上可以輕易地構(gòu)造出每秒鐘幾萬個(gè)域名解析請求，足以使一臺(tái)硬件配置極高的DNS服務(wù)器癱瘓，由此可見DNS 服務(wù)器的脆弱性。同時(shí)需要注意的是，蠕蟲擴(kuò)散也會(huì)帶來大量的域名解析請求。

UDP DNS Query Flood防御

在UDP Flood的基礎(chǔ)上對 UDP DNS Query Flood 攻擊進(jìn)行防護(hù)

根據(jù)域名 IP 自學(xué)習(xí)結(jié)果主動(dòng)回應(yīng)，減輕服務(wù)器負(fù)載（使用 DNS Cache）

對突然發(fā)起大量頻度較低的域名解析請求的源 IP 地址進(jìn)行帶寬限制

在攻擊發(fā)生時(shí)降低很少發(fā)起域名解析請求的源 IP 地址的優(yōu)先級(jí)

限制每個(gè)源 IP 地址每秒的域名解析請求次數(shù)

創(chuàng)新互聯(lián)建站宿遷/濟(jì)南/廈門等多地的高防云服務(wù)器/高防彈性云以及高防獨(dú)立服務(wù)器，以便客戶的選擇和需求。

廈門三線BGP 4核8線程 G口50M獨(dú)享 150G防御（不封國外和UDP）1549元

杭州三線BGP 高防I7 G口100M獨(dú)享 250G防御（不封國外和UDP）1999元

詳情可咨詢官網(wǎng)客服：631063699

文章題目：網(wǎng)絡(luò)安全：為什么封UDP端口可以避免部分攻擊？
當(dāng)前網(wǎng)址：http://muchs.cn/article6/spcig.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供動(dòng)態(tài)網(wǎng)站、企業(yè)建站、外貿(mào)建站、全網(wǎng)營銷推廣、標(biāo)簽優(yōu)化、ChatGPT

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源：創(chuàng)新互聯(lián)

猜你還喜歡下面的內(nèi)容