架构师_程序员_码农网

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12182|回复: 1

[安全知识] 基于UDP 80端口的DOS攻击案例

[复制链接]
发表于 2016-2-2 09:58:34 | 显示全部楼层 |阅读模式

在某用户实际环境下,捕获了交互的报文,在“UDP会话”中,我们发现了大量的UDP 80端口的UDP会话,如下图所示:

6983792e352fcce3bb263e9e673f811d201209101724531344088016.png

       这些UDP会话都是来自于同一个源主机,目的主机IP也是固定的,并且交互的报文都是单向的。

       我们随便找了几个UDP会话,通过UDP会话重组功能,我们可以发现,其发送的都是明显填充的字段,如下图所示:

95f27ee9bc71064fc2a39cb2470774dd201209101724561796779915.png

2d643d6dcf34d6f49d7c7ada283257c8201209101724512040322962.png

       以此判断为基于UDP 80端口的DOS攻击行为无疑。

      黑客这样做主要考虑两点:

1, 利用UDP无连接特性,发送大量UDP大包,消耗攻击目标的网络带宽资源,造成DOS攻击效果;

2, UDP 80端口被过滤的可能性更小;

      TCP 80端口为最为常见的HTTP应用,基本上,绝大部分的运营商、用户都会放行TCP 80端口的报文,而其他不常见的端口则很可能被运营商、用户的安全设备、ACL过滤,而利用UDP 80 端口实施该攻击,则主要利用很多网络管理员在制定安全防护过滤策略时的不严谨性,很多人图省事,在制定相关策略时,只选择放行80端口,而不选择TCP协议或UDP协议,这样默认情况下,设备会放行TCP 80端口和UDP 80端口。这就给黑客提供的可乘之机。






上一篇:linux查询当前网络端口连接数前N名的ip地址
下一篇:DROP与REJECT的区别
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
发表于 2021-10-19 16:11:20 | 显示全部楼层
请问这个捕捉报文的软件叫什么意思呀
码农网,只发表在实践过程中,遇到的技术难题,不误导他人。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

免责声明:
码农网所发布的一切软件、编程资料或者文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:help@itsvse.com

QQ|手机版|小黑屋|架构师 ( 鲁ICP备14021824号-2 )|网站地图

GMT+8, 2024-3-29 07:55

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表