[Знання з безпеки] Випадок атаки DOS на основі UDP порту 80

У сесіях UDP ми знайшли велику кількість сесій UDP на порту 80, як показано на наступному рисунку:

       Ці UDP-сесії надходять з одного й того ж джерела, IP призначення є фіксованим, а взаємодіючі пакети є односторонніми.

       Ми випадково знайшли кілька сесій UDP, і завдяки функції реорганізації сесій UDP можемо виявити, що вони надсилають очевидно заповнені поля, як показано на рисунку нижче:

       Виходячи з цього, це безсумнівно DOS-атака, заснована на порту UDP 80.

      Хакери роблять це з двома основними міркуваннями:

1. Використовуючи функцію безз'єднання UDP, надсилається велика кількість UDP-пакетів, які споживають ресурси пропускної здатності мережі цілі атаки та спричиняють ефекти DOS-атак.

2. Порти UDP 80 менш схильні до фільтрації;

      Порт TCP 80 є найпоширенішим HTTP-додатком, більшість операторів і користувачів випускають пакети портів TCP 80, тоді як інші рідкісні порти, ймовірно, фільтруються операторами, пристроями безпеки користувачів, ACL та використанням порту UDP 80 для здійснення цієї атаки, головним чином використовуючи відсутність суворості багатьох мережевих адміністраторів у формулюванні політик фільтрації захисту безпеки.Багато людей обирають випускати порт 80 замість протоколу TCP або UDP, щоб за замовчуванням пристрій відпускав порти TCP 80 і UDP 80. Це дає хакерам можливість.