[Sikkerhetskunnskap] DOS-angrepstilfelle basert på UDP-port 80

I UDP-økter fant vi et stort antall UDP-økter på port 80, som vist i følgende figur:

       Disse UDP-øktene kommer fra samme kildevert, destinasjonsvertens IP er fast, og de interagerende pakkene er enveis.

       Vi fant tilfeldig noen UDP-økter, og gjennom UDP-sesjonsomorganiseringsfunksjonen kan vi finne ut at de sender åpenbart fylte felt, som vist i figuren nedenfor:

       Basert på dette er det utvilsomt et DOS-angrep basert på UDP 80-porten.

      Hackere gjør dette med to hovedhensyn:

1. Ved å bruke UDPs tilkoblingsløse funksjon sendes et stort antall UDP-pakker, noe som bruker nettverksbåndbredderessursene til angrepsmålet og forårsaker DOS-angrepseffekter.

2. UDP 80-porter er mindre sannsynlig å bli filtrert;

      TCP 80-porten er den vanligste HTTP-applikasjonen, i praksis vil de fleste operatører og brukere slippe TCP 80-portpakker, mens andre uvanlige porter sannsynligvis filtreres av operatører, brukernes sikkerhetsenheter, ACL-er og bruk av UDP 80-porten for å utføre dette angrepet, hovedsakelig utnytter mangelen på grundighet hos mange nettverksadministratorer i utformingen av sikkerhetsbeskyttelsesfiltreringspolicyer.Mange velger å frigjøre port 80 i stedet for TCP- eller UDP-protokollen, slik at enheten som standard vil frigjøre TCP 80-porten og UDP 80-porten. Dette gir hackere en mulighet.