[Γνώση ασφάλειας] Περίπτωση επίθεσης DOS με βάση τη θύρα UDP 80

Στις συνεδρίες UDP, βρήκαμε μεγάλο αριθμό συνεδριών UDP στη θύρα 80, όπως φαίνεται στο παρακάτω σχήμα:

       Αυτές οι συνεδρίες UDP προέρχονται από τον ίδιο κεντρικό υπολογιστή προέλευσης, η IP του κεντρικού υπολογιστή προορισμού είναι σταθερή και τα πακέτα που αλληλεπιδρούν είναι μονόδρομα.

       Βρήκαμε τυχαία μερικές συνεδρίες UDP και μέσω της λειτουργίας αναδιοργάνωσης συνεδρίας UDP, μπορούμε να διαπιστώσουμε ότι στέλνουν εμφανώς συμπληρωμένα πεδία, όπως φαίνεται στο παρακάτω σχήμα:

       Με βάση αυτό, είναι αναμφίβολα μια επίθεση DOS που βασίζεται στη θύρα UDP 80.

      Οι χάκερ το κάνουν αυτό με δύο βασικές σκέψεις:

1. Χρησιμοποιώντας τη δυνατότητα χωρίς σύνδεση του UDP, αποστέλλεται μεγάλος αριθμός πακέτων UDP, τα οποία καταναλώνουν τους πόρους εύρους ζώνης δικτύου του στόχου επίθεσης και προκαλούν εφέ επίθεσης DOS.

2. Οι θύρες UDP 80 είναι λιγότερο πιθανό να φιλτραριστούν.

      Η θύρα TCP 80 είναι η πιο κοινή εφαρμογή HTTP, βασικά, οι περισσότεροι χειριστές και χρήστες θα απελευθερώσουν πακέτα θύρας TCP 80, ενώ άλλες ασυνήθιστες θύρες είναι πιθανό να φιλτραριστούν από χειριστές, συσκευές ασφαλείας χρηστών, ACL και η χρήση της θύρας UDP 80 για την πραγματοποίηση αυτής της επίθεσης, εκμεταλλεύονται κυρίως την έλλειψη αυστηρότητας πολλών διαχειριστών δικτύου στη διαμόρφωση πολιτικών φιλτραρίσματος προστασίας ασφαλείας.Πολλοί άνθρωποι επιλέγουν να απελευθερώσουν τη θύρα 80 αντί για το πρωτόκολλο TCP ή UDP, έτσι ώστε από προεπιλογή, η συσκευή να απελευθερώσει τη θύρα TCP 80 και τη θύρα UDP 80. Αυτό δίνει στους χάκερ μια ευκαιρία.