精华内容
下载资源
问答
  • UDP协议全称“用户数据报协议”,User Datagram Protocol,是一种传输层协议。UDP协议是一种无连接的协议,不提供数据报的分组、组装,不对数据包的传输进行确认,当报文发送出去后,发送端不关心报文是否完整的到达...
  • UDP报文结构 UDP_Flood攻击原理 UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包...由于UDP协议是一种无连接的服务,在UDP FLOOD攻击中,攻击者可发送大量伪造源IP地址的小...

    UDP报文结构


    UDP_Flood攻击原理

    UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。

    100k pps的UDP Flood经常将线路上的骨干设备例如防火墙打瘫,造成整个网段的瘫痪。由于UDP协议是一种无连接的服务,在UDP FLOOD攻击中,攻击者可发送大量伪造源IP地址的小UDP包。但是,由于UDP协议是无连接性的,所以只要开了一个UDP的端口提供相关服务的话,那么就可针对相关的服务进行攻击。

    正常应用情况下,UDP包双向流量会基本相等,而且大小和内容都是随机的,变化很大。出现UDP Flood的情况下,针对同一目标IP的UDP包在一侧大量出现,并且内容和大小都比较固定。


    UDP_Flood攻击防御

    UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待:

    1. 判断包大小,如果是大包攻击则使用防止UDP碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP碎片。
    2. 攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
    3. 攻击端口为非业务端口:一个是丢弃所有UDP包,可能会误伤正常业务;一个是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。

       

    因为大多数IP并不提供UDP服务,直接丢弃UDP流量即可。所以现在纯粹的UDP流量攻击比较少见了,取而代之的是UDP协议承载的DNS Query Flood攻击。简单地说,越上层协议上发动的DDoS攻击越难以防御,因为协议越上层,与业务关联越大,防御系统面临的情况越复杂。


    DNS Query Flood攻击原理

    UDP DNS Query Flood攻击实质上是UDP Flood的一种,但是由于DNS服务器的不可替代的关键作用,一旦服务器瘫痪,影响一般都很大。

    UDP DNS Query Flood攻击采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名,被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS 服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。

    DNS Query Flood就是攻击者操纵大量傀儡机器,对目标发起海量的域名查询请求。为了防止基于ACL的过滤,必须提高数据包的随机性。常用的做法是UDP层随机伪造源IP地址、随机伪造源端口等参数。在DNS协议层,随机伪造查询ID以及待解析域名。随机伪造待解析域名除了防止过滤外,还可以降低命中DNS缓存的可能性,尽可能多地消耗DNS服务器的CPU资源。

    根据微软的统计数据,一台DNS服务器所能承受的动态域名查询的上限是每秒钟9000个请求。而我们知道,在一台P3的PC机上可以轻易地构造出每秒钟几万个域名解析请求,足以使一台硬件配置极高的DNS服务器瘫痪,由此可见DNS 服务器的脆弱性。同时需要注意的是,蠕虫扩散也会带来大量的域名解析请求。


    UDP DNS Query Flood防御

    1. 在UDP Flood的基础上对 UDP DNS Query Flood 攻击进行防护
    2. 根据域名 IP 自学习结果主动回应,减轻服务器负载(使用 DNS Cache)
    3. 对突然发起大量频度较低的域名解析请求的源 IP 地址进行带宽限制
    4. 在攻击发生时降低很少发起域名解析请求的源 IP 地址的优先级
    5. 限制每个源 IP 地址每秒的域名解析请求次数

    End

    展开全文
  • UDP Flood攻击

    万次阅读 多人点赞 2019-01-29 15:01:30
    上一期,强叔给大家介绍了SYN Flood攻击防御,本期强叔将带领大家一起来学习一下另一种常见的流量型攻击UDP Flood。 讲UDP Flood之前,强叔还是先从UDP协议讲起。在讲SYN Flood的时候,我们知道了TCP协议是一...

    本文转载自华为企业互动社区

    大家好,强叔又来了!上一期,强叔给大家介绍了SYN Flood的攻击和防御,本期强叔将带领大家一起来学习一下另一种常见的流量型攻击:UDP Flood。

    讲UDP Flood之前,强叔还是先从UDP协议讲起。在讲SYN Flood的时候,我们知道了TCP协议是一种面向连接的传输协议。但是UDP协议与TCP协议不同, UDP是一个无连接协议。使用UDP协议传输数据之前,客户端和服务器之间不建立连接,如果在从客户端到服务器端的传递过程中出现数据的丢失,协议本身并不能做出任何检测或提示。因此,通常人们把UDP协议称为不可靠的传输协议。


    既然UDP是一种不可靠的网络协议,那么还有什么使用价值或必要呢?其实不然,在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能,但是在实际执行的过程中会占用大量的系统开销,无疑使传输速度受到严重的影响。反观UDP,由于排除了信息可靠传递机制,将安全和排序等功能移交给上层应用来完成,极大降低了执行时间,使传输速度得到了保证。

    正是UDP协议的广泛应用,为黑客们发动UDP Flood攻击提供了平台。UDP Flood属于带宽类攻击,黑客们通过僵尸网络向目标服务器发起大量的UDP报文,这种UDP报文通常为大包,且速率非常快,通常会造成以下危害:

    • 消耗网络带宽资源,严重时造成链路拥塞。
    • 大量变源变端口的UDP Flood会导致依靠会话转发的网络设备,性能降低甚至会话耗尽,从而导致网络瘫痪。

    防火墙对UDP Flood的防御并不能像SYN Flood一样,进行源探测,因为它不建立连接。那应该怎么防御呢?
    最初防火墙对UDP Flood的防御方式就是限流,通过限流将链路中的UDP报文控制在合理的带宽范围之内。
    防火墙上针对UDP Flood的限流有三种:

    •  基于目的IP地址的限流:即以某个IP地址作为统计对象,对到达这个IP地址的UDP流量进行统计并限流,超过部分丢弃。
    • 基于目的安全区域的限流:即以某个安全区域作为统计对象,对到达这个安全区域的UDP流量进行统计并限流,超过部分丢弃。
    •  基于会话的限流:即对每条UDP会话上的报文速率进行统计,如果会话上的UDP报文速率达到了告警阈值,这条会话就会被锁定,后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时,防火墙会解锁此会话,后续命中此会话的报文可以继续通过。

    限流虽然可以有效缓解链路带宽的压力,但是这种方式简单粗暴,容易对正常业务造成误判。为了解决这个问题,防火墙又进一步推出了针对UDP Flood的指纹学习功能。 

    UDP Flood的指纹学习功能

    仔细分析,不难发现,UDP Flood攻击报文具有一定的特点,这些攻击报文通常都拥有相同的特征字段,比如都包含某一个字符串,或整个报文内容一致。这些字段来自于DDoS工具自带的默认字符串,所以防火墙是通过收集这些字符串来检测UDP Flood。这种防御算法在现网使用很多,主要因为黑客为了加大攻击频率,快速、长时间挤占攻击目标所在网络带宽,在使用攻击工具实现时直接在内存存放一段内容,然后高频发送到攻击目标,所以攻击报文具有很高的相似性。而正常业务的UDP报文一般每个报文负载内容都是不一样的,这样可以减少误判。


    从下面的抓包中可以看出,到达相同目的IP地址的两个UDP报文的载荷是完全一样的,如果防火墙收到大量的类似这样的UDP报文,那么就有可能是发生了UDP Flood攻击。
      

    UDP-Flood攻击-报文1
    UDP-Flood攻击-报文2

    指纹学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容,来判定这个UDP报文是否异常。防火墙对到达指定目的地的UDP报文进行统计,当UDP报文达到告警阈值时,开始对UDP报文的指纹进行学习。如果相同的特征频繁出现,就会被学习成指纹,后续命中指纹的报文判定这是攻击报文,作为攻击特征进行过滤。

     

    强叔再给大家总结一下,防火墙防御UDP Flood攻击主要有两种方式:限流和指纹学习,两种方式各有利弊。限流方式属于暴力型,可以很快将UDP流量限制在一个合理的范围内,但是不分青红皂白,超过就丢,可能会丢弃一些正常报文;而指纹学习属于理智型,不会随意丢弃报文,但是发生攻击后需要有个指纹学习的过程。目前,指纹学习功能是针对UDP Flood攻击的主流防御手段,在华为防火墙产品中广泛应用。


    强叔提问
    大家之前有没有配置过防火墙的UDP Flood防御功能?在配置过程中有遇到过什么样的问题吗?

    扫描二维码,关注“小眼睛的梦呓”公众号,在手机端查看文章
    扫描二维码,关注“清远的梦呓”公众号,在手机端查看文章

     

    展开全文
  • 前言 靶机:seedubuntu 12.01,IP:192.168.199.138 攻击机:Kali-2020.4,IP:192.168.199.129 工具:hping3 原理 由于UDP协议的无状态不可靠的天然特性,UDP ...UDP Flood攻击 在seedubuntu上开启tcpdump监听 tcpd

    前言

    • 靶机:seedubuntu 12.01,IP:192.168.199.138
    • 攻击机:Kali-2020.4,IP:192.168.199.129
    • 工具:hping3

    原理

    由于UDP协议的无状态不可靠的天然特性,UDP Flood拒绝服务攻击的原理非常简单,即通过向目标主机和网络发送大量的UDP数据包,造成目标主机显著的计算负载提升,或者目标网络的网络拥塞,从而使得目标主机和网络陷入不可用的状态,造成拒绝服务攻击。

    UDP Flood攻击

    在seedubuntu上开启tcpdump监听

    tcpdump -i eth0 udp -n
    

    在kali中向seed发起udp flood攻击

    hping3 --udp -p 53 192.168.199.138
    

    然后在seedubuntu中就能看到连接了

    在这里插入图片描述

    攻击进一步升级,使用工具自带的随机源地址参数进行源地址欺骗udp flood攻击:

    hping3 --udp -p 53 --flood --rand-source 192.168.199.138
    

    在这里插入图片描述

    在这里插入图片描述

    对UDP Flood攻击的防御

    UDP是无状态连接协议,常用于僵尸网络的DDOS攻击,比起TCP来说更难防御。通过设置防火墙,对UDP包的IP,端口,速率可针对性防御。另外,UDP Flood除了消耗受害者资源,也会消耗大量攻击者资源。

    展开全文
  • UDPflood工具

    2013-02-28 17:31:14
    udpflood攻击工具、脚本小孩比较喜欢这个、内行人都觉得这个没什么技术含量。
  • http://support.huawei.com/huaweiconnect/enterprise/thread-214141.html 转载于:https://www.cnblogs.com/zengkefu/p/7582678.html

    http://support.huawei.com/huaweiconnect/enterprise/thread-214141.html

    转载于:https://www.cnblogs.com/zengkefu/p/7582678.html

    展开全文
  • TCP SYN Flood攻击防御实验

    千次阅读 2020-11-05 09:35:02
    DoS(拒绝服务攻击) DDoS(分布式拒绝服务攻击) ...TCP-SYN Flood攻击又称半开式连接攻击,每当我们进行一次标准的TCP连接,都会有一个三次握手的过程,而TCP-SYN Flood在它的实现过程中只有前两个步骤。这样,服务
  • 摘要:SYN FLOOD攻击是目前比较常见的攻击方式之一。该文介绍了SYN FLOOD攻击的基本原理,通过对Windows Server 2003操作系统系统注册表修改策略提高TCP\IP通信安全来有效防止来自网络内外部SYN FLOOD攻击。   ...
  • (1) syn攻击利用TCP协议的缺陷,通过发送大量的半连接请求,耗费CPU和内存资源。服务器收到连接请求,将此信息加入到未连接队列,并发送请求包给客户,此时进入SYN_RECV状态。当服务器未收到客户端的确认包时,...
  • 使用高防服务器租用,大概都听过UDP Flood攻击UDP Flood攻击又称UDP淹没攻击,是流量型DoS攻击的一种,常常利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。 UDP Flood攻击又称UDP淹没攻击,...
  • 3.3 UDP Flood攻击3.3.1 原理 UDP Flood是日渐猖厥的流量型DoS攻击,原理也很简单。常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。 100k pps的UDP Flood经常将线路上的骨干设备...
  • 网络层(TCP/UDP)攻击防御原理

    千次阅读 2019-05-16 17:01:12
    ... 网络层攻击防御 ...UDP类报文攻击防御 ICMP类报文攻击防御 TCP类报文攻击防御 TCP正常的交互过程: 图:TCP正常交互过程 在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。 第...
  • SYN Flood攻击的基本原理及防御

    千次阅读 2017-09-28 14:48:53
    转载自:http://www.xfocus.net/articles/200106/208.htmlSYN Flood攻击的基本原理及防御创建时间:2001-06-28 文章属性:转载 文章来源:http://shotgun.patching.net/syn.htm 文章提交:xundi (xundi_at_xfocus...
  • SYN,ICMP, UDP Flood攻击原理与防护

    千次阅读 2016-05-18 20:15:32
    DoS(Denial of Service拒绝服务)和DDoS(Distributed Denial of Service分布式拒绝服务)攻击是大型网站和网络... Flood由于其攻击效果好,已经成为目前最流行的DoS和DDoS攻击手段。   SYN Flood利用TCP协
  • DDOS,是Distributed Denial of Service的简称,即分布式拒绝服务,分布式拒绝服务攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的...
  • DNS flood攻击分析

    2021-01-03 17:20:04
    DNS request flood 黑客控制僵尸网络向DNS服务器发送大量不存在的域名的解析请求,最终导致服务器因大量DNS请求而超载。 1.TC源认证 ①客户端发送的DNS请求报文长度超过告警阈值,启动源认证机制。 ②拦截DNS请求,...
  • 因此恶意攻击者利用UDP协议面向无连接的特点,发送大量恶意的UDP数据包攻击目标网络带宽,造成网络拥堵,并且基于UDP协议的应用层协议的种类也非常多,对于UDP Flooding攻击防御也相对比较困难。 本次UDP ...
  • 防火墙通知受到Syn Flood攻击,并解释说:A SYN Flood is an attempt to consume memory and resources. A Normal TCP/IP connection is established with an exchange of packets. A SYN packet, a SYN/ACK packet ...
  • DDOS攻击/防御介绍

    千次阅读 2021-09-12 16:48:15
    1.防御流程图 1 检测中心分析防护网络的分光或者镜像流量 ... 检测中心发现流量异常,上报受攻击IP地址到管理中心 ... 清洗中心通过多层过滤的防御技术,丢弃攻击流量,转发正常流量 .
  • UDP协议:不需要连接,速率高,适合大文件,不可靠 网络直播肯定是UDP协议 UDP协议关键点:源端口,目的端口...hping3 -q -n -a IP地址 --udp -s 53 -p 目标端口 --flood 目标IP -d 1000 -n:以数字化格式输出结果 -a伪
  • 【Linux网络编程】UDP洪水攻击

    千次阅读 多人点赞 2019-08-17 19:40:05
    00. 目录 文章目录00. 目录01.... UDP洪水攻击实现6.1 IP协议封装6.2 UDP协议封装6.3 CRC16校验算法6.4 UDP封包实现6.5 主函数实现07. 测试结果07. 免费视频讲解08. 总结 01. 洪水攻击概述 洪...
  • UDP是无连接的协议,因此无法通过源认证的方法防御UDP Flood攻击。如果UDP业务流量需要通过TCP业务流量认证或控制,则当UDP业务受到攻击时,对关联的TCP业务强制启动防御,用此TCP防御产生的白名单决定同一源的UDP...
  • 从2013年3月的300Gbps到2014年2月的400Gbps,DDoS攻击以惊人的速度进入200-400Gbps时代。面对如此规模的DDoS攻击开发者究竟该如何应对?这里我们不妨看看阿里云...这种类型的攻击典型代表是ICMPFlood和UDPFlood,现在已
  • 一、TCP连接监控(TCP Interception)  ... 为了有效的防范TCP SYN Flood攻击,在保证通过慢速网络的用户可以正常建立到服务端的合法连接的同时,需要尽可能的减少服务端TCP Backlog的清空时间,大多数防火
  • SYN Flood攻击的监测与防御初探

    千次阅读 2013-03-13 15:16:59
    对于SYN Flood攻击,目前尚没有很好的监测和防御方法,不过如果系统管理员熟悉攻击方法和系统架构,通过一系列的设定,也能从一定程度上降低被攻击系统的负荷,减轻负面的影响。  一般来说,如果一个系统(或主机...
  • SYN Flood攻击

    2019-07-13 22:12:13
    SYN Flood是一种广为人知的DoS(拒绝服务攻击)是DDoS(分布式拒绝服务攻击)的方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,077
精华内容 830
关键字:

flood攻击防御udp