Javascript is required

常见UDP反射放大攻击的类型与防护措施

作者: IP数据云

栏目: 技术解读

发布时间: 2022-05-19 11:30:40

一、DDOS攻击简介


分布式拒绝服务攻击(Distributed Denial of Service)简称DDoS,亦称为阻断攻击或洪水攻击,是目前互联网最常见的一种攻击形式。DDoS攻击通常通过来自大量受感染的计算机(即僵尸网络)的流量,对目标网站或整个网络进行带宽或资源消耗,使目标无法处理大量数据包,导致服务中断或停止。


【IP数据云免费查IP归属地、IP应用场景】



UDP是网络通信的标准协议,由于UDP数据包是无链接状态的服务,相对TCP而言,存在更少的错误检查和验证。攻击者可以更小代价的利用UDP 协议特性攻击目标主机,使其无法响应正确请求,甚至会导致线路拥塞。而UDP反射放大攻击,更是近几年最火热,被利用最多的攻击方式。成本之低,放大倍数之高,使各企业闻D色变。


二、UDP反射放大攻击原理


很多协议在响应包处理时,要远大于请求包,一个字节的请求十个字的响应,十个字节的请求一百个字的响应,这就是UDP反射放大攻击最根本的原理。以下将Memcached服务作为实例进一步介绍。


Memcached是一款开源的高性能分布式内存对象缓存服务,通过缓存来降低对数据库的访问请求,加快应用程序的响应效率,可以应用于各类缓存需求中。通过查询缓存数据库,直接返回访问请求,降低对数据库的访问次数。


三、常见UDP反射类型


除了常见的DNS,NTP等UDP反射放大攻击类型,目前还有其他十多种UDP协议,均可以用于反射放大攻击,如:SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。放大倍数从几倍到几万倍,其中部分协议今天仍然非常流行。


此处整理了部分常见UDP反射放大协议,理论放大倍数和实际常见到的放大倍数作为对比,看看谁的放大威力更强。




四、常见防护方式


通告类:关注各个设备和安全厂商,cncert发布的最新安全通告,及时更新针对性防护策略;


目标IP+源端口限速:可以用于控制反射性攻击,且可以预防未知的反射协议;


源IP限速:单个请求源IP的整体控制;


目标IP限速:单个攻击目标IP的整体可用性控制;


源IP+源端口限速:可以降低部分大客户源IP在访问请求时的副作用影响;


目标IP+目标端口限速:适用于目标IP端口开发范围较大时,可提高业务端口可用率,降低目标整体影响;


服务白名单:对于已知的UDP反射协议,如DNS服务器的IP地址添加为白名单,除此之外,其他源IP的53端口请求包,全部封禁,也可以大大减少反射可用点,使UDP反射放大攻击的影响面降低;


地理位置过滤器:针对业务用户的地理位置特性,在遇到UDP反射放大攻击时,可优先从用户量最少地理位置的源IP进行封禁阻断,直到将异常地理位置的源IP请求全部封禁掉,使流量降至服务器可处理的范围之内,或可有效减轻干扰流量,便于其他算法进一步处理;


扩容带宽服务器:增强带宽和服务器的处理能力,增加业务流量和处理极限的可容忍波动范围,可以减轻在防护过程中造成的影响;