摘要
UDP(User Datagram Protocol)是一种无连接的传输协议,通常用于实时传输、VoIP(Voice over IP)和在线游戏等应用。然而,UDP协议的特性也使其容易遭受攻击。本文将深入探讨UDP攻击的原理,以及如何采取有效的防御策略。
实际案例
包括UDP洪水攻击和UDP反射放大攻击。
- UDP洪水攻击是一种常见的DDoS攻击方式,攻击者通过大量发送UDP数据包,使得目标系统资源耗尽,无法处理正常请求。例如,PhantomL0rd在多场游戏对战中遭到DERP Trolling的“追杀”:凡是PhantomL0rd参加的网络游戏,都不同程度地遭到了DERP Trolling的DDoS攻击。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等等知名游戏网站都因遭到DDoS攻击而瘫痪。
- UDP反射放大攻击则是一种更隐蔽的DDoS攻击方式,攻击者利用正常服务的UDP响应,将响应报文发送到目标,使目标系统拥塞,无法正常提供服务。例如,Memcached服务由于其“小请求、大响应”的特性,被攻击者利用进行UDP反射放大攻击。攻击者只需要向Memcached服务器的UDP端口11211发送伪造的特定请求报文,该请求报文的源地址被设置成了攻击目标的IP地址。服务器在收到该请求报文后,会将“放大”后的响应报文发送至攻击目标处,达到低成本化、高隐蔽性的攻击效果。
防御方法
方法一:限流
这种方法的基本思路是利用DDoS防护系统对UDP报文进行限流,将链路中的UDP报文控制在合理的带宽范围之内。
可以采用两种方式针对UDP Flood进行限流:
一是以某个IP地址作为统计对象,对到达这个IP地址的UDP流量进行统计并限流,超过部分丢弃;
二是以UDP会话作为统计对象,如果某条会话上的UDP报文速率达到了告警阈值,这条会话就会被锁定,后续命中这条会话的UDP报文都被丢弃。
方法二:指纹学习
一般来说,黑客为了加大攻击频率,快速、长时间挤占目标的网络带宽,在使用DDoS攻击工具实现UDP Flood时,会直接在内存中存放一段内容,然后高频发送到目标,所以攻击报文具有很高的相似性(比如都包含某一个字符串,或整个报文内容一致);而正常业务的每个UDP报文负载内容一般都是不一样的。
所以,DDoS防护系统可以通过收集具有相同特征的字符串来检测UDP Flood攻击,这样可以有效降低误报率。 指纹学习就是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容,来判定这个UDP报文是否异常。
DDoS防护系统对到达指定目的地的UDP报文进行统计,当UDP报文达到告警阈值时,开始对UDP报文的指纹进行学习。如果相同的特征频繁出现,就会被学习成指纹,后续命中该指纹的报文将被判定为攻击报文,并作为攻击特征进行过滤。
目前,市面上绝大多数的DDoS防护系统产品均采用指纹学习的方法来防御UDP Flood攻击。
