基于UDP 80端口的DOS攻击案例

2012-09-10 · 网络分析 · 网络安全 · 189264 次阅读

在某用户实际环境下，捕获了交互的报文，在“UDP会话”中，我们发现了大量的UDP 80端口的UDP会话，如下图所示：

这些UDP会话都是来自于同一个源主机，目的主机IP也是固定的，并且交互的报文都是单向的。

我们随便找了几个UDP会话，通过UDP会话重组功能，我们可以发现，其发送的都是明显填充的字段，如下图所示：

以此判断为基于UDP 80端口的DOS攻击行为无疑。

黑客这样做主要考虑两点：

1， 利用UDP无连接特性，发送大量UDP大包，消耗攻击目标的网络带宽资源，造成DOS攻击效果；

2， UDP 80端口被过滤的可能性更小；

TCP 80端口为最为常见的HTTP应用，基本上，绝大部分的运营商、用户都会放行TCP 80端口的报文，而其他不常见的端口则很可能被运营商、用户的安全设备、ACL过滤，而利用UDP 80 端口实施该攻击，则主要利用很多网络管理员在制定安全防护过滤策略时的不严谨性，很多人图省事，在制定相关策略时，只选择放行80端口，而不选择TCP协议或UDP协议，这样默认情况下，设备会放行TCP 80端口和UDP 80端口。这就给黑客提供的可乘之机。