什么是UDP Flood攻击?

UDP洪泛是一种拒绝服务攻击,其中大量的用户数据报协议(UDP)数据包被发送到目标服务器,目的是压倒该设备的处理和响应能力。防火墙保护目标服务器也可能因UDP泛滥而耗尽,从而导致对合法流量的拒绝服务。

UDP Flood攻击如何工作?

UDP Flood主要通过利用服务器响应发送到其中一个端口的UDP数据包所采取的步骤。在正常情况下,当服务器在特定端口接收到UDP数据包时,会经过两个步骤:

服务器首先检查是否正在运行正在侦听指定端口的请求的程序。
如果没有程序在该端口接收数据包,则服务器使用ICMP(ping)数据包进行响应,以通知发送方目的地不可达。
可以在酒店接待员路由呼叫的上下文中考虑UDP洪水。首先,接待员接收到呼叫者要求连接到特定房间的电话。接待员然后需要查看所有房间的清单,以确保客人在房间中可用,并愿意接听电话。接待员意识到客人没有接听电话时,必须先接听电话并告知来电者客人不会接听电话。如果突然间所有的电话线同时亮起来,那么他们就会很快被淹没。

当服务器接收到每个新的UDP数据包时,它将通过步骤来处理请求,并利用该过程中的服务器资源。发送UDP报文时,每个报文将包含源设备的IP地址。在这种类型的DDoS攻击期间,攻击者通常不会使用自己的真实IP地址,而是会欺骗UDP数据包的源IP地址,从而阻止攻击者的真实位置被暴露并潜在地饱和来自目标的响应数据包服务器。

由于目标服务器利用资源检查并响应每个接收到的UDP数据包的结果,当接收到大量UDP数据包时,目标的资源可能会迅速耗尽,导致对正常流量的拒绝服务。

如何缓解UDP洪水攻击?

大多数操作系统部分限制了ICMP报文的响应速率,以中断需要ICMP响应的DDoS攻击。这种缓解的一个缺点是在攻击过程中,合法的数据包也可能被过滤。如果UDP Flood的容量足够高以使目标服务器的防火墙的状态表饱和,则在服务器级别发生的任何缓解都将不足以应对目标设备上游的瓶颈。