[안전 지식] UDP 포트 80을 기반으로 한 DOS 공격 사례

UDP 세션에서는 아래 그림과 같이 포트 80에 많은 수의 UDP 세션이 존재함을 발견했습니다:

       이 UDP 세션들은 동일한 출발 호스트에서 오며, 목적지 호스트 IP는 고정되어 있고, 상호작용하는 패킷은 일방향입니다.

       우연히 몇몇 UDP 세션을 발견했고, UDP 세션 재구성 기능을 통해 아래 그림과 같이 명백히 채워진 필드를 보내는 것을 확인할 수 있습니다:

       이로 미루어 보면, 이는 의심할 여지 없이 UDP 80 포트를 기반으로 한 DOS 공격입니다.

      해커들은 두 가지 주요 고려 사항으로 이를 수행합니다:

1. UDP의 비연결 기능을 사용하여 많은 수의 UDP 패킷이 전송되며, 이는 공격 대상의 네트워크 대역폭 자원을 소모하고 DOS 공격 효과를 일으킵니다.

2. UDP 80 포트는 필터링될 가능성이 적습니다;

      TCP 80 포트는 가장 일반적인 HTTP 애플리케이션으로, 대부분의 운영자와 사용자가 TCP 80 포트 패킷을 공개하는 반면, 다른 드문 포트들은 운영자, 사용자 보안 장치, ACL에 의해 필터링될 가능성이 높으며, UDP 80 포트를 이용해 이 공격을 수행하는데, 이는 많은 네트워크 관리자들이 보안 보호 필터링 정책을 수립하는 데 있어 엄격성이 부족하다는 점을 주로 이용한 것입니다.많은 사람들이 TCP나 UDP 프로토콜 대신 포트 80을 해제하여, 기본적으로 TCP 80 포트와 UDP 80 포트를 해제합니다. 이것이 해커들에게 기회를 제공합니다.