[Sikkerhedsviden] DOS-angrebstilfælde baseret på UDP-port 80

I UDP-sessioner fandt vi et stort antal UDP-sessioner på port 80, som vist i følgende figur:

       Disse UDP-sessioner kommer fra samme kildevært, destinationsværts IP er fast, og de interagerende pakker er envejs.

       Vi fandt tilfældigt nogle få UDP-sessioner, og gennem UDP-sessionens reorganiseringsfunktion kan vi finde ud af, at de sender åbenlyst fyldte felter, som vist i figuren nedenfor:

       Baseret på dette er det uden tvivl et DOS-angreb baseret på UDP 80-porten.

      Hackere gør dette med to hovedovervejelser:

1. Ved brug af UDP's forbindelsesløse funktion sendes et stort antal UDP-pakker, hvilket forbruger netværksbåndbredderessourcerne fra angrebsmålet og forårsager DOS-angrebseffekter.

2. UDP 80-porte er mindre tilbøjelige til at blive filtreret;

      TCP 80-porten er den mest almindelige HTTP-applikation, grundlæggende vil de fleste operatører og brugere frigive TCP 80-portpakker, mens andre usædvanlige porte sandsynligvis filtreres af operatører, brugernes sikkerhedsenheder, ACL'er og brugen af UDP 80-porten til at udføre dette angreb, primært udnytter manglen på stringens hos mange netværksadministratorer i udformningen af sikkerhedsbeskyttelsesfiltreringspolitikker.Mange vælger at frigive port 80 i stedet for TCP- eller UDP-protokollen, så enheden som standard frigiver TCP 80-porten og UDP 80-porten. Dette giver hackere en mulighed.