[Turvallisuustieto] DOS-hyökkäystapaus, joka perustuu UDP-porttiin 80

UDP Sessionsissa löysimme suuren määrän UDP-istuntoja portissa 80, kuten seuraavassa kuvassa näkyy:

       Nämä UDP-istunnot tulevat samasta lähdeisännästä, kohde-isäntä-IP on kiinteä ja vuorovaikutuksessa olevat paketit ovat yksisuuntaisia.

       Löysimme satunnaisesti muutamia UDP-istuntoja, ja UDP-istunnon uudelleenjärjestelyfunktion kautta voimme havaita, että ne lähettävät selvästi täytettyjä kenttiä, kuten alla olevassa kuvassa näkyy:

       Tämän perusteella kyseessä on epäilemättä DOS-hyökkäys, joka perustuu UDP 80 -porttiin.

      Hakkerit tekevät tämän kahdella pääasialla:

1. UDP:n yhteydettömyysominaisuuden avulla lähetetään suuri määrä UDP-paketteja, jotka kuluttavat hyökkäyskohteen verkon kaistanleveyden resursseja ja aiheuttavat DOS-hyökkäyksen vaikutuksia.

2. UDP 80 -portteja suodatetaan harvemmin;

      TCP 80 -portti on yleisin HTTP-sovellus; käytännössä useimmat operaattorit ja käyttäjät julkaisevat TCP 80 -porttipaketteja, kun taas muut harvinaiset portit suodatetaan operaattoreiden, käyttäjien turvalaitteiden, ACL-korttien ja UDP 80 -portin toimesta tämän hyökkäyksen toteuttamiseen, hyödyntävät pääasiassa monien verkon ylläpitäjien puutteellista tarkkuutta turvallisuussuodatuskäytäntöjen laatimisessa.Monet päättävät julkaista portin 80 TCP- tai UDP-protokollan sijaan, jolloin laite vapauttaa oletuksena TCP 80 -portin ja UDP 80 portin. Tämä antaa hakkereille mahdollisuuden.