概述
UDP协议是一种无协议的连接,数据报文的传输较TCP迅速并不需要任何TCP握手,所以它的数据报文的传输速度是比较快的,所以如果当攻击者向某台主机的UDP端口发送大字节的UDP数据报文,当UDP流量积累到一定程度后将会呈现以UDP为主体的Flood流攻击。
UDP指纹学习
UDP协议因为不需要握手,所以直接将数据报文发送给目的主机即可,而攻击者构造的UDP报文从一定程度上来说,可能会呈现出一定的规律,比如可能在构造UDP报文的时候以递增的形式去对源的信息进行修改,同时还有可能对udp报文的实体内容进行一定程度的修改,那么这些报文被填充后其大小很有可能在一定程度上也是有规律的,比如大小近似,或内容随机无序。所以当流量超过FW的阈值之后,将会触发FW的指纹学习,那么后续进入FW的报文若匹配上其指纹,那么FW就会将其进行抛弃。
关联服务
因为有些UDP流量是通过TCP协议来开始的,那么如果此时针对这些开头的TCP流量进行验证,或者首包丢弃,那么也可以保护内网服务器来自恶意的流量接入
限流
这是最后的手段,因为很有可能攻击者很厉害,恶意的UDP报文的流量制造的十分的没有规律,那么此时FW没有办法了,它无法根据签名的方式去判断UDP报文流量的有效性,所以此时只能将恶意流量和普通流量一视同仁,将UDP流量压低到服务器可以承载的范围内,那么虽然这样可以保护服务器,但是还是无法十分有效的限制恶意流量,最终造成的结果就是可能普通用户使用的时候还是十分的难受。
789
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
