正常应用情况下，UDP包双向流量会基本相等，而且大小和内容都是随机的，变化很大。出现UDP Flood的情况下，针对同一目标IP的UDP包在一侧大量出现，并且内容和大小都比较固定。攻击工具：

　　图

　　53端口的UDP Flood攻击抓图：

　　图

　　UDP Flood大包攻击(占带宽，分片)：

　　图

　　3.3.2 UDP Flood防护

　　UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待：

　　判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500.在极端情况下，可以考虑丢弃所有UDP碎片。

　　攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

　　攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务;一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。

上一页  [1] [2] [3] [4] [5] [6] [7] 下一页

　　3.4 ICMP Flood攻击

　　3.4.1 原理

　　ICMP Flood 的攻击原理和ACK Flood原理类似，属于流量型的攻击方式，也是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文，因此ICMP Flood出现的频度较低。比较下面两幅图，就应该可以看出是否有ICMP Flood攻击。

　　正常ICMP包：

　　图

　　大包攻击的时候：

　　图

　　3.4.2 ICMP Flood防护

　　其防御也很简单，直接过滤ICMP报文。这里就不做详细说明。

　　3.5 Connection Flood攻击

　　3.5.1 原理

　　Connection Flood是典型的并且非常的有效的利用小流量冲击大带宽网络服务的攻击方式，这种攻击方式目前已经越来越猖獗。这种攻击的原理是利用真实的IP地址向服务器发起大量的连接，并且建立连接之后很长时间不释放，占用服务器的资源，造成服务器服务器上残余连接(WAIT状态)过多，效率降低，甚至资源耗尽，无法响应其他客户所发起的连接。

　　其中一种攻击方法是每秒钟向服务器发起大量的连接请求，这类似于固定源IP的SYN Flood攻击，不同的是采用了真实的源IP地址。通常这可以在防火墙上限制每个源IP地址每秒钟的连接数来达到防护目的。但现在已有工具采用慢速连接的方式，也即几秒钟才和服务器建立一个连接，连接建立成功之后并不释放并定时发送垃圾数据包给服务器使连接得以长时间保持。这样一个IP地址就可以和服务器建立成百上千的连接，而服务器可以承受的连接数是有限的，这就达到了拒绝服务的效果。

上一页  [1] [2] [3] [4] [5] [6] [7] 下一页

　　另外，蠕虫大规模爆发的时候，由于蠕虫代码则比较简单，传播过程中会出现大量源IP地址相同的包，对于 TCP 蠕虫则表现为大范围扫描行为。这是在判断Connection Flood