UDP 泛洪攻击的工作原理
网络协议用户数据报协议 (UDP) 使计算机应用程序能够通过 IP 地址或网络向其他主机发送消息或数据报。当服务器收到 UDP 数据包时,其操作系统会检查相关的应用程序,如果没有发现此类应用程序,则通过一个“目的地不可达”的回复数据包通知发送者。与 TCP 的连接或会话定向不同,UDP 是一个无连接协议,服务器使用互联网控制消息协议 (ICMP) 响应来告知“无法交付原始 UDP 数据包”。
为了发起 UDP 泛洪攻击,攻击者用伪装的 IP 地址向目标系统的随机端口发送大量 UDP 流量。由于系统必须检查每个传入的数据包中指定的端口是否有发起监听的应用程序并发出响应,目标服务器的资源会很快被耗尽,使其对正常流量和合法用户不可用。互联网连接很容易变得拥挤和饱和。当 UDP 数据包在小标头攻击有效载荷影响下发生畸变时,会增加每秒数据包速率,并可能导致互联网网卡上的硬件出现故障。
防止 UDP 泛洪攻击可能是一个挑战。操作系统可能试图限制 ICMP 数据包(UDP 响应的一部分)的响应速率。但这种方法是无差别的,也可能过滤掉合法流量。抵御任何类型的 DDoS 的行动应该在离数据中心或源站最远的地方进行,在那里,这些攻击工具的效果较差。SIP 和 VOIP 互联网服务依赖于 UDP 堆栈,对这些类型的攻击有独特的敏感性。UDP 泛洪攻击可以由僵尸网络产生,但攻击者会利用开放的 UDP 协议,该协议很容易反射和放大对 Web、DNS、SSH、SCP、SSL、TLS 和其他托管互联网资源等服务发起的攻击。
其他 DDoS 防护解决方案
除了 Prolexic 之外,Akamai 还提供其他 DDoS 防护解决方案。
App & API Protector
Akamai App & API Protector 是一种整体 Web 应用程序和 API 保护架构,旨在保护整个 TCP 网络和 API 资产,其对自动化和简单性的重视在业界处于优秀水平。该解决方案集合了多项核心技术,包括 API 安全保护、Web 应用程序防火墙、 爬虫程序抵御和 DDoS 防护。App & API Protector 可抵御广泛的威胁,包括大规模 DDoS 攻击(比如 UDP 泛洪攻击和 ICMP 泛洪攻击)、注入和基于 API 的攻击、应用程序层攻击(比如 Slowloris)以及基于协议的威胁(比如 TCP Out-of-State 攻击、SYN 泛洪攻击或需要合法用户完成三方握手的 ACK 泛洪攻击)。
Prolexic
Akamai Prolexic 通过零秒 SLA 和快速有效的规模化防御来阻止 UDP 泛洪攻击。Prolexic 提供跨所有端口和协议的云交付抵御措施,在攻击影响业务之前在云中阻止攻击。通过 Prolexic,网络流量被交付到全球 20 多个高容量净化中心之一。在那里,我们可以在更接近攻击来源的地方阻止攻击,从而为用户尽可能提高性能,并通过云分布确保网络恢复能力。在每个净化中心,Akamai 安全运营指挥中心 (SOCC) 使用主动和/或定制的抵御控制措施,以迅速阻止攻击,将干净的流量返回到客户源站。
Edge DNS
Akamai Edge DNS 是一种基于云的 DNS 解决方案,它利用 Akamai Connected Cloud ,使客户能够访问全球 1000 多个入网点的数千台 DNS 服务器。借助 Edge DNS,企业不再需要仅仅依靠两到三台 DNS 服务器(这种常见的做法使企业容易受到数据中心中断和 DDoS 攻击的影响)。该 Akamai 解决方案可以吸收大规模 DDoS 攻击,与此同时继续响应合法的用户请求,从而提高 DNS 的恢复能力和响应能力。
常见问题
暂无评论内容