【转载】UDP Flood防范

da11

UDP Flood防范

转载地址：https://blog.csdn.net/qq_47529104/article/details/124299393

概述
UDP协议是一种无协议的连接，数据报文的传输较TCP迅速并不需要任何TCP握手，所以它的数据报文的传输速度是比较快的，所以如果当攻击者向某台主机的UDP端口发送大字节的UDP数据报文，当UDP流量积累到一定程度后将会呈现以UDP为主体的Flood流攻击。

UDP指纹学习




UDP协议因为不需要握手，所以直接将数据报文发送给目的主机即可，而攻击者构造的UDP报文从一定程度上来说，可能会呈现出一定的规律，比如可能在构造UDP报文的时候以递增的形式去对源的信息进行修改，同时还有可能对udp报文的实体内容进行一定程度的修改，那么这些报文被填充后其大小很有可能在一定程度上也是有规律的，比如大小近似，或内容随机无序。所以当流量超过FW的阈值之后，将会触发FW的指纹学习，那么后续进入FW的报文若匹配上其指纹，那么FW就会将其进行抛弃。

关联服务
因为有些UDP流量是通过TCP协议来开始的，那么如果此时针对这些开头的TCP流量进行验证，或者首包丢弃，那么也可以保护内网服务器来自恶意的流量接入

限流
这是最后的手段，因为很有可能攻击者很厉害，恶意的UDP报文的流量制造的十分的没有规律，那么此时FW没有办法了，它无法根据签名的方式去判断UDP报文流量的有效性，所以此时只能将恶意流量和普通流量一视同仁，将UDP流量压低到服务器可以承载的范围内，那么虽然这样可以保护服务器，但是还是无法十分有效的限制恶意流量，最终造成的结果就是可能普通用户使用的时候还是十分的难受。