网络安全:为什么封UDP端口可以避免部分攻击?

UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。

成都创新互联10多年企业网站制作服务;为您提供网站建设,网站制作,网页设计及高端网站定制服务,企业网站制作及推广,对酒店设计等多个领域拥有多年的网站制作经验的网站建设公司。

100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。由于UDP协议是一种无连接的服务,在UDP FLOOD攻击中,攻击者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行攻击。


正常应用情况下,UDP包双向流量会基本相等,而且大小和内容都是随机的,变化很大。出现UDP Flood的情况下,针对同一目标IP的UDP包在一侧大量出现,并且内容和大小都比较固定。


DNS Query Flood攻击原理

UDP DNS Query Flood攻击实质上是UDP Flood的一种,但是由于DNS服务器的不可替代的关键作用,一旦服务器瘫痪,影响一般都很大。比如创新互联就提供封国外和UDP的高防御服务器。


UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。


DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。


根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道,在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS 服务器的脆弱性。同时需要注意的是,蠕虫扩散也会带来大量的域名解析请求。


UDP DNS Query Flood防御

在UDP Flood的基础上对 UDP DNS Query Flood 攻击进行防护

根据域名 IP 自学习结果主动回应,减轻服务器负载(使用 DNS Cache)

对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制

在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级

限制每个源 IP 地址每秒的域名解析请求次数


创新互联建站宿迁/济南/厦门等多地的高防云服务器/高防弹性云以及高防独立服务器,以便客户的选择和需求。

厦门三线BGP 4核8线程 G口50M独享 150G防御(不封国外和UDP)1549元

杭州三线BGP 高防I7 G口100M独享 250G防御(不封国外和UDP)1999元

详情可咨询官网客服:631063699


分享名称:网络安全:为什么封UDP端口可以避免部分攻击?
分享网址:http://scyanting.com/article/spcig.html