|
In UDP-Sitzungen fanden wir eine große Anzahl von UDP-Sitzungen auf Port 80, wie in der folgenden Abbildung dargestellt:
Diese UDP-Sitzungen stammen vom selben Quellhost, die Zielhost-IP ist fest und die interagierenden Pakete sind einseitig. Wir haben zufällig einige UDP-Sitzungen gefunden, und durch die UDP-Sitzungsreorganisationsfunktion können wir feststellen, dass sie offensichtlich gefüllte Felder senden, wie in der Abbildung unten dargestellt:
Darauf basierend ist es zweifellos ein DOS-Angriff, der auf dem UDP 80-Port basiert. Hacker machen dies mit zwei Hauptüberlegungen: 1. Mit der verbindungslosen Funktion von UDP werden eine große Anzahl von UDP-Paketen gesendet, was die Netzwerkbandbreitenressourcen des Angriffsziels verbraucht und DOS-Angriffseffekte verursacht. 2. UDP-80-Ports werden seltener gefiltert; Der TCP-80-Port ist die häufigste HTTP-Anwendung, im Grunde werden die meisten Betreiber und Nutzer TCP-80-Port-Pakete freigeben, während andere seltene Ports wahrscheinlich von Betreibern, Sicherheitsgeräten, ACLs und der Nutzung des UDP-80-Ports für diesen Angriff gefiltert werden, wobei hauptsächlich die mangelnde Strenge vieler Netzwerkadministratoren bei der Erstellung von Sicherheitsschutz-Filterrichtlinien ausgenutzt wird.Viele Menschen entscheiden sich dafür, Port 80 statt TCP- oder UDP-Protokoll freizugeben, sodass das Gerät standardmäßig den TCP-80- und UDP-80-Port freigibt. Das gibt Hackern eine Chance.
| 
Veröffentlicht am 02.02.2016 09:58:34
|
|
|
|
Veröffentlicht am 19.10.2021 16:11:20