高防之UDP Flood防护

发布时间:2022-08-15 10:40

用过高防的用户大概都听过UDP Flood攻击，UDP Flood攻击又称UDP淹没攻击，是流量型DoS攻击的一种，常常利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。

由于UDP协议是一种无连接的服务，在发动UDPFLOOD攻击时，攻击者发送大量伪造源IP地址的小UDP包，导致被攻击者系统瘫痪。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。

1. UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDPFlood的防护非常困难。其防护要根据具体情况对待：

2. 在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻 UDP 淹没攻击。

3. 禁用或过滤监控和响应服务。

4. 禁用或过滤其它的 UDP 服务。

5. 如果用户必须提供一些 UDP 服务的外部访问，那么需要使用代理机制来保护那种服务，使它不会被滥用。

6. 对用户的网络进行监控以了解哪些系统在使用这些服务，并对滥用的迹象进行监控。

7. 判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。

8. 攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

9. 攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务;一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持，如高防服务器租用。

UDP攻击是一种互损的攻击方式，消耗对方资源的同时也消耗攻击者本身的资源，现在已经很少人使用这种攻击了。说白了这种攻击方式仅仅就是拼资源而已，看谁的带宽大，看谁能坚持到最后，这种攻击方式没有技术含量，引用别人的话，不要以为洪水无所不能，这种杀敌一万,自损三千的攻击没攻击者能耗得起。