【安全知識】 UDPポート80に基づくDOS攻撃ケース

UDPセッションでは、ポート80に多数のUDPセッションが存在し、以下の図に示されています。

       これらのUDPセッションは同じ送信元ホストから来ており、宛先ホストのIPは固定され、相互作用するパケットは一方通行です。

       偶然いくつかのUDPセッションを見つけ、UDPセッション再編成機能を通じて、明らかに埋められたフィールドを送信していることがわかります。以下の図に示されています。

       これに基づき、間違いなくUDP 80ポートをベースにしたDOS攻撃です。

      ハッカーは主に2つの考慮点でこれを行います。

1. UDPのコネクションレス機能を用いて大量のUDPパケットが送信され、攻撃対象のネットワーク帯域幅資源を消費し、DOS攻撃の影響を引き起こします。

2. UDP 80ポートはフィルタリングが少なく、

      TCP 80ポートは最も一般的なHTTPアプリケーションであり、基本的にほとんどのオペレーターやユーザーはTCP 80ポートパケットをリリースしますが、他の珍しいポートはオペレーターやユーザーのセキュリティデバイス、ACL、UDP 80ポートの使用によってフィルタリングされる可能性が高く、これは多くのネットワーク管理者がセキュリティ保護フィルタリングポリシーの策定に厳密さを欠いていることを主な利用しています。多くの人はTCPやUDPプロトコルの代わりにポート80を解放することを選び、デフォルトではTCP 80ポートとUDP 80ポートを解放します。 これによりハッカーはチャンスを得られます。