UDP泛洪是容量拒絕服務(wù) (DoS)?攻擊的一種形式，攻擊者以包含用戶(hù)數據報協(xié)議 (UDP)?數據包的 IP 數據包為目標并覆蓋主機上的隨機端口。在這種類(lèi)型的攻擊中，主機尋找與這些數據報相關(guān)聯(lián)的應用程序。當沒(méi)有找到時(shí)，主機向發(fā)送方發(fā)送一個(gè)“目標不可達”數據包。被這種洪水轟炸的累積影響是系統被淹沒(méi)，因此對合法流量沒(méi)有反應。在 UDP泛洪?DDoS攻擊中，攻擊者也可能選擇欺騙數據包的 IP 地址。這可確保返回的 ICMP 數據包無(wú)法到達其主機，同時(shí)還使攻擊完全匿名。

UDP泛洪攻擊的跡象是什么？

服務(wù)器每次接收到新的 UDP 數據包時(shí)，都會(huì )使用資源來(lái)處理請求。此過(guò)程的第一步涉及服務(wù)器確定是否有任何程序在指定端口運行。如果該端口上沒(méi)有程序正在接收數據包，則服務(wù)器發(fā)出 ICMP 數據包以通知發(fā)送方無(wú)法到達目的地。當 UPD 泛洪 DDoS攻擊來(lái)自多臺機器時(shí)，該攻擊被視為分布式拒絕服務(wù) (DDoS)威脅。當使用多臺機器發(fā)起UDP泛洪時(shí)，總流量往往會(huì )超過(guò)連接目標到互聯(lián)網(wǎng)的鏈路的容量，從而導致瓶頸。

為什么UDP泛洪 DDoS攻擊很危險？

UDP 是一種無(wú)連接和無(wú)會(huì )話(huà)的網(wǎng)絡(luò )協(xié)議。與 TCP 不同，UDP 流量不需要三向握手。因此，它需要較少的開(kāi)銷(xiāo)，非常適合聊天或 VoIP 等不需要檢查和重新檢查的流量。使 UDP 成為某些類(lèi)型流量的理想選擇的相同屬性也使其更容易被利用。無(wú)需初始握手以確保合法連接，UDP 通道可用于向任何主機發(fā)送大量流量。沒(méi)有可以限制 UDP泛洪速率的內部保護措施。因此，UDP泛洪 DOS 攻擊異常危險，因為它們可以在有限的資源下執行。

如何阻止UDP泛洪攻擊？

阻止 UDP泛洪 DDoS攻擊可能具有挑戰性。大多數操作系統都試圖限制ICMP數據包的響應速率，以阻止DDoS攻擊。這種緩解形式的缺點(diǎn)是它還會(huì )過(guò)濾掉合法的數據包。在真正發(fā)生大量洪水的情況下，即使服務(wù)器的防火墻能夠減輕攻擊，擁塞或減速也很有可能發(fā)生在上游，無(wú)論如何都會(huì )造成中斷。Anycast 技術(shù)使用深度數據包檢測，可用于平衡清理服務(wù)器網(wǎng)絡(luò )中的攻擊負載。旨在查看 IP 信譽(yù)、異常屬性和可疑行為的清理軟件可以發(fā)現和過(guò)濾惡意 DDoS 數據包，從而只允許干凈的流量通過(guò)服務(wù)器。

如何防止UDP泛洪攻擊？

防止 UDP泛洪攻擊可能很困難。大多數操作系統都試圖限制ICMP數據包的響應速率，以阻止DDoS攻擊。任播技術(shù)是一種網(wǎng)絡(luò )尋址和路由方法，其中傳入的請求可以路由到各種不同的位置。它可用于平衡清理服務(wù)器網(wǎng)絡(luò )中的攻擊負載。旨在查看 IP 信譽(yù)、異常屬性和可疑行為的清理軟件可以發(fā)現和過(guò)濾惡意 DDoS 數據包，從而只允許干凈的流量通過(guò)服務(wù)器。