[Знания за безопасност] Случай на DOS атака, базиран на UDP порт 80

В UDP сесиите открихме голям брой UDP сесии на порт 80, както е показано на следната фигура:

       Тези UDP сесии идват от един и същ изходен хост, IP адресът на дестинацията е фиксиран, а взаимодействащите пакети са еднопосочни.

       Случайно намерихме няколко UDP сесии и чрез функцията за реорганизация на UDP сесиите можем да открием, че те изпращат очевидно запълнени полета, както е показано на фигурата по-долу:

       Въз основа на това, това безспорно е DOS атака, базирана на UDP 80 порта.

      Хакерите правят това с две основни съображения:

1. Използвайки функцията за безсвързване на UDP, се изпращат голям брой UDP пакети, които изразходват мрежовите ресурси на целевата атака и причиняват ефекти от DOS атаката.

2. UDP 80 портовете са по-малко склонни да бъдат филтрирани;

      TCP 80 портът е най-често използваното HTTP приложение, повечето оператори и потребители освобождават TCP 80 порт пакети, докато други необичайни портове вероятно ще бъдат филтрирани от оператори, устройства за сигурност на потребителите, ACL и използването на UDP 80 порт за извършване на тази атака, като основно се възползват от липсата на строгост на много мрежови администратори при формулирането на политики за филтриране на защитата за сигурност.Много хора избират да пуснат порт 80 вместо TCP или UDP протокол, така че по подразбиране устройството да освобождава TCP 80 порт и UDP 80 порт. Това дава възможност на хакерите.