udp洪水是一種拒絕服務(wù)攻擊礁鲁,它利用含有udp數(shù)據(jù)報(bào)的ip數(shù)據(jù)包對(duì)目標(biāo)主機(jī)上的隨機(jī)端口進(jìn)行飽和攻擊盐欺。
用戶數(shù)據(jù)報(bào)協(xié)議(udp)是一種無連接、無對(duì)話的網(wǎng)絡(luò)協(xié)議仅醇。由于udp流量不需要像tcp那樣三次握手冗美,可以低成本的運(yùn)行。這種特質(zhì)也使得udp非常脆弱析二,更容易被濫用粉洼,一些udp洪水攻擊能夠利用dns方法攻擊的形式實(shí)施,udp并不會(huì)定義具體的數(shù)據(jù)包格式叶摄,因此攻擊者攻擊者可創(chuàng)建較大的數(shù)據(jù)包漆改,將其充滿垃圾和數(shù)字,并將它們發(fā)往遭受攻擊的主機(jī)准谚。需要注意的是挫剑,放大和未放大的udp洪水可能源自各種規(guī)模的僵尸網(wǎng)絡(luò)群。使用多臺(tái)機(jī)器將這種攻擊劃分為分布式拒絕服務(wù)(ddos)威脅柱衔。憑借這些攻擊樊破,攻擊者的目標(biāo)是攻破防火墻和其他更具有彈性的網(wǎng)絡(luò)基礎(chǔ)實(shí)施組件。
緩解方法:在最基本的層面上唆铐,多數(shù)操作系統(tǒng)試圖通過限制ICMP的響應(yīng)速率來緩解udp洪水攻擊哲戚。然而,這種不加選擇的過濾對(duì)合法流量也會(huì)產(chǎn)生影響艾岂。傳統(tǒng)上顺少,udp緩解方法也依靠那些能夠過濾或阻止惡意udp數(shù)據(jù)包的防火墻。此類方法的效果越來越差,現(xiàn)在的高流量攻擊可以很輕松地攻破那些沒有預(yù)設(shè)預(yù)留空間的防火墻脆炎。
Incapsula的ddos防護(hù)充分利用Anycast技術(shù)梅猿,在其全局分布的高容量清洗服務(wù)器之間平衡應(yīng)對(duì)這些攻擊負(fù)載,在這些清洗服務(wù)器上對(duì)攻擊進(jìn)行深度包檢測(cè)秒裕。
利用專有的專門設(shè)計(jì)用于內(nèi)部流量處理的清洗軟件袱蚓,并基于Ip信譽(yù)異常屬性和可疑行為等因素,Incapsula可識(shí)別并過濾惡意ddos數(shù)據(jù)包几蜻。
