[Знания о безопасности] Случай атаки DOS на основе UDP порта 80

В UDP Sessions мы обнаружили большое количество UDP-сессий на порту 80, как показано на следующем рисунке:

       Эти UDP-сессии поступают с одного и того же исходного хоста, IP получателя фиксирован, а взаимодействующие пакеты — односторонние.

       Мы случайно нашли несколько сессий UDP, и через функцию реорганизации сессий UDP можем обнаружить, что они отправляют явно заполненные поля, как показано на рисунке ниже:

       Исходя из этого, это, несомненно, DOS-атака, основанная на порте UDP 80.

      Хакеры делают это с двумя основными соображениями:

1. Используя функцию бессоединения UDP, отправляется большое количество UDP-пакетов, которые расходуют ресурсы пропускной способности сети цели атаки и вызывают эффекты DOS-атак.

2. Порты UDP 80 менее склонны к фильтрации;

      Порт TCP 80 — это самое распространённое HTTP-приложение, по сути, большинство операторов и пользователей выпускают пакеты портов TCP 80, в то время как другие редкие порты, вероятно, фильтруются операторами, устройствами безопасности пользователей, ACL и использованием порта UDP 80 для выполнения этой атаки, в основном используя недостаток строгости многих сетевых администраторов при формулировании политик фильтрации защиты.Многие предпочитают выпускать порт 80 вместо протокола TCP или UDP, чтобы по умолчанию устройство освободило порты TCP 80 и UDP 80. Это даёт хакерам возможность.