udp端口攻击_udp攻击ddos

udp flood属于哪种ddos类型

ddos攻击类型分两种，一种是流量攻击一种是cc攻击。

显然udp是属于流量攻击，而且是比较容易防御的那种，和修罗ddos老版是差不多的

基于udp的放大攻击

一、系统的影响

某些依赖于用户数据报协议(User Datagram Protocol, UDP)的应用层协议已被识别为潜在的攻击载体。这些包括：

域名系统，

网络时间协议(NTP)

无连接轻量级目录访问协议(CLDAP)，

字符生成协议(CharGEN)

简单服务发现协议，

BitTorrent，

简单网络管理协议版本2 (SNMPv2)

Kad,

端口映射/远程过程调用(RPC)，

Quote of the Day(QOTD)

多播域名系统(mDNS)，

网络基本输入输出系统(NetBIOS)

Quake 网络协议,

流协议,

路由信息协议版本1 (RIPv1)

轻量级目录访问协议(LDAP)，

简单文件传输协议(TFTP)和

Memcached,

以及Web服务动态发现(WS-Discovery)。

二、概述

分布式反射拒绝服务(DRDoS)是分布式拒绝服务(DDoS)攻击的一种形式，它依赖于可公开访问的UDP服务器和带宽放大因子(BAFs)，以UDP流量淹没受害者的系统。

三、描述

根据设计，UDP是一个不验证源互联网协议(IP)地址的无连接协议。除非应用层协议使用对策，如在互联网语音协议中会话发起，否则攻击者可以很容易地伪造IP包数据报(与包交换网络相关联的基本传输单元)以包括任意源IP地址。当许多UDP数据包的源IP地址被伪造成受害者IP地址时，目标服务器(或放大器)会响应受害者(而不是攻击者)，从而产生反射拒绝服务(DoS)攻击。

UDP协议的某些命令会引发比初始请求大得多的响应。以前，攻击者受到直接发送到目标的数据包的线性数量的限制而进行DoS攻击;现在一个包可以产生10到100倍的原始带宽。这被称为放大攻击，当与大规模的反射式DoS攻击结合使用多个放大器并针对单一受害者时，DDoS攻击就可以相对容易地进行。

放大攻击的潜在效果可以通过BAF来衡量，BAF可以计算为放大器为响应请求而发送的UDP有效载荷字节数与请求的UDP有效载荷字节数的比较。

下面是已知协议及其相关的BAFs的列表。CISA感谢Christian Rossow提供了这些信息。更多关于BAFs的信息，请看Christian的博客以及相关的研究成果。

2015年3月，软件工程学会CERT协调中心发布了漏洞说明VU#550620，描述了mDNS在DRDoS攻击中的使用。攻击者可以通过发送比设备能处理的更多的信息来利用mDNS，从而导致DoS状态。

2015年7月，Akamai技术公司的Prolexic安全工程和研究团队(PLXsert)发布了一份威胁报告，称使用RIPv1的DRDoS攻击激增。恶意参与者通过特别设计的请求查询利用RIPv1的行为进行DDoS反射。

2015年8月，3级威胁研究实验室报告了一种使用portmap的新型DRDoS攻击。攻击者利用portmap服务的行为，通过欺骗请求向受害者的网络发送UDP流量。

2016年10月，Corero Network Security报告了一场新的DDoS扩增攻击，利用LDAP目录服务服务器攻击其客户。

2017年11月，Netlab 360报告称，CLDAP目前是第三大最常见的DRDoS攻击，仅次于DNS和NTP攻击。

2018年2月，SENKI报告了基于memcached的反射DDoS攻击(通过UDP/TCP端口11211)的增加，并达到了前所未有的放大系数。

在2019年9月，Akamai报告了利用WS-Discovery协议(通过TCP/UDP端口3702)的DDoS攻击。

四、影响

攻击者可以利用此警报中提供UDP协议的大型服务器的带宽和相对信任，向受害者提供不需要的流量并创建DDoS攻击。

五、解决方案

检测

检测DRDoS攻击并不容易，因为它们使用了提供UDP服务的大型可信服务器。这些可利用服务的网络运营商可以应用传统的DoS缓解技术。要检测DRDoS攻击，请注意对特定IP地址的非正常大响应，这可能表明攻击者正在使用该服务。

DRDoS攻击的受害者可以做一些事情来检测这种活动并作出反应:

1、检测和警报大UDP数据包到更高的命令端口。

2、检测和警告任何非状态UDP数据包。(下面是一个简单的Snort示例。这种方法需要针对每个带有白名单和已知服务的环境进行定制。

3、上游供应商应更新与下游客户的联系方式和方法，通过网络发送警报。

一般而言，互联网服务供应商(ISPs)的网络和服务器管理员应采用以下最佳做法，以避免成为放大器节点:

1、使用网络流检测欺骗包。(请参阅下面的缓解部分，了解在阻止欺骗流量之前验证该流量的信息。)

2、使用网络流或其他总结的网络数据来监视对有风险的UDP服务的异常数量的请求。

3、使用网络流量检测服务异常(例如，每包字节数和每秒数据包异常)。

缓解

以下步骤可以帮助减轻DRDoS攻击:

1、使用有状态UDP检查(如反射访问控制列表)来减少对边界防火墙或边界路由器上的关键服务的影响。[13]

2、使用边界网关协议(BGP)来创建一个远程触发的黑洞，最好与上游提供商或isp合作。[14]

3、维护主要上游供应商紧急联系人列表，以协调对攻击的响应。上游供应商应与下游客户协调开展缓解措施。

一般来说，ISP网络和服务器管理员应该使用以下最佳实践来避免成为放大器节点:

1、定期更新软件和配置以拒绝或限制滥用(例如，DNS响应率限制)。[15] [16] [17]

2、禁用和移除不需要的服务，或拒绝通过internet访问本地服务。

3、使用udp的协议，如：流量和路由设备上的服务质量(QoS)——以支持基于网络的速率——限制在互联网上提供的合法服务。

4、与客户供应商和制造商合作，确保安全配置和软件。

作为互联网服务供应商，为避免滥用互联网资源:

1、使用ingress过滤来阻止欺骗包(请参阅欺骗器项目[19]和IETF BCP 38和BCP 84指南)。

2、对UDP服务请求使用流量调整，以确保对internet资源的重复访问不会被滥用。

UDP攻击怎么防御以及防御原理

UDP攻击的原理以及防御方式分析

当下，无孔不入的ddos攻击已经威胁了多数网站的生存，作为其最主流的攻击方式之一的UDP flood攻击，自然也是很多网站主的“噩梦”。下面是关于UDP flood攻击详细原理以及防御方式分析，希望能够帮助更多的网站主们解决这个“噩梦”

UDP flood 又称UDP洪水攻击或UDP淹没攻击，UDP是没有连接状态的协议，因此可以发送大量的 UDP 包到某个端口，如果是个正常的UDP应用端口，则可能干扰正常应用，如果是没有正常应用，服务器要回送ICMP，这样则消耗了服务器的处理资源，而且很容易阻塞上行链路的带宽。

常见的情况是利用大量UDP小包冲击DNS服务器或Radius认证服务器、流媒体视频服务器。100k pps的UDPFlood经常将线路上的骨干设备例如防火墙打瘫，造成整个网段的瘫痪。在UDPFLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击，正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDPFlood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。

至于防御方式，由于UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，所以针对UDPFlood的防护非常困难，而且要根据具体情况对待。

UDP协议与TCP协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDPFlood的防护非常困难。其防护要根据具体情况对待:?

判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。

攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务：一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。

再有就是通过防御平台进行防御。ddos.cc平台就是专业的防御平台。平台通过跃点防护理念，一级高防cdn体系，可以将cc攻击与ddos攻击彻底排除在网络应用之外，确保网站24小时不间断运营。

Udp洪水攻击和DDOS洪水攻击一样吗？

UDP洪水攻击是DDoS洪水攻击的一种，DDoS洪水还包括用其他类型报文的攻击，例如TCP Flood（包括Syn flood/ACK Flood等）、ICMP Flood、IGMP Flood。

ARP欺骗一般不会用来做DDoS攻击，因为ARP主要是一个二层的协议，一旦出现跨路由器跳IP转发，ARP报文就不能转发了。