|
In UDP-sessies vonden we een groot aantal UDP-sessies op poort 80, zoals weergegeven in de volgende figuur:
Deze UDP-sessies komen van dezelfde bronhost, het bestemmingshost-IP is vast en de interactieve pakketten zijn eenrichtingsverlopen. We vonden willekeurig een paar UDP-sessies, en via de UDP-sessiereorganisatiefunctie kunnen we zien dat ze duidelijk ingevulde velden sturen, zoals weergegeven in de onderstaande figuur:
Op basis hiervan is het ongetwijfeld een DOS-aanval gebaseerd op de UDP 80-poort. Hackers doen dit met twee hoofdoverwegingen: 1. Met behulp van de verbindingsloze functie van UDP worden een groot aantal UDP-pakketten verzonden, wat de netwerkbandbreedtebronnen van het aanvalsdoel verbruikt en DOS-aanvalseffecten veroorzaakt. 2. UDP 80-poorten worden minder vaak gefilterd; TCP 80-poort is de meest voorkomende HTTP-toepassing; in feite zullen de meeste operators en gebruikers TCP 80-poortpakketten vrijgeven, terwijl andere ongebruikelijke poorten waarschijnlijk worden gefilterd door operators, beveiligingsapparaten van gebruikers, ACL's en het gebruik van de UDP 80-poort om deze aanval uit te voeren, waarbij vooral profiteren van het gebrek aan strengheid van veel netwerkbeheerders bij het formuleren van beveiligingsfilterbeleid.Veel mensen kiezen ervoor om poort 80 vrij te geven in plaats van TCP of UDP-protocol, zodat het apparaat standaard TCP 80-poort en UDP 80-poort vrijgeeft. Dit geeft hackers een kans.
| 
Geplaatst op 02-02-2016 09:58:34
|
|
|
|
Geplaatst op 19-10-2021 16:11:20