[Bezpečnostní znalosti] Případ útoku DOS založený na UDP portu 80

V UDP Sessions jsme našli velké množství UDP relací na portu 80, jak ukazuje následující obrázek:

       Tyto UDP relace pocházejí ze stejného zdrojového hostitele, cílová IP adresa je pevně daná a interagující pakety jsou jednosměrné.

       Náhodně jsme našli několik UDP relací a pomocí funkce reorganizace UDP relací jsme zjistili, že posílají zjevně vyplněná pole, jak je znázorněno na obrázku níže:

       Na základě toho se nepochybně jedná o DOS útok založený na portu UDP 80.

      Hackeři to dělají za dvou hlavních důvodů:

1. Pomocí funkce UDP bez spojení je odesíláno velké množství UDP paketů, které spotřebovávají síťové šířky pásma cíle útoku a způsobují útoky DOS.

2. Porty UDP 80 jsou méně náchylné k filtrování;

      TCP 80 port je nejběžnější HTTP aplikace, v podstatě většina operátorů a uživatelů uvolní pakety TCP 80 portů, zatímco jiné neobvyklé porty jsou pravděpodobně filtrovány operátory, bezpečnostními zařízeními uživatelů, ACL a použitím UDP 80 portu k provedení tohoto útoku, což hlavně využívá nedostatku přísnosti mnoha síťových administrátorů při formulaci bezpečnostních ochranných filtračních politik.Mnoho lidí volí uvolnění portu 80 místo protokolu TCP nebo UDP, takže zařízení ve výchozím nastavení uvolní port TCP 80 a port UDP 80. To dává hackerům příležitost.