什么是SSDP型DDoS攻击

SSDP型攻击是一种基于反射的分布式拒绝服务(DDoS)攻击，SSDP是简单服务发现协议，DDOS利用这种协议实施攻击，它利用通用即插即用(UPnP)网络协议将放大的流量发送给目标受害者，使目标的基础设施不堪重负并使它们的Web资源脱机。在正常情况下，SSDP协议用于允许UPnP设备向网络上的其他设备广播其存在。一个关键的防护措施是在防火墙的1900端口阻止传入UDP流量。

防御SSDP型DDOS攻击的手段有以下这些：

• 禁用UDP：对于内存缓存服务器，请确保在不需要时禁用UDP支持。默认情况下，内存缓存启用了UDP支持，这可能会使服务器容易受到攻击。

• 对内存缓存服务器进行防火墙保护：通过在内存缓存服务器和互联网之间添加防火墙保护，系统管理员可以根据需要使用UDP，而不必暴露于风险中。

• 防止IP欺骗：只要可以伪造IP地址，DDoS攻击就可以利用此漏洞将流量定向到受害者的网络。防止IP欺骗是一个规模较大的解决方案，无法由特定的系统管理员实施，它要求传输提供商禁止源IP地址源自网络外部的任何数据包离开其网络。换句话说，互联网服务提供商(ISP)之类的公司必须筛选流量，以使离开其网络的数据包不得假装成来自其他地方的其他网络。如果所有主要的传输提供商都实施了这种筛选，基于欺骗的攻击将在一夜之间消失。

• 开发具有减少UDP响应的软件：消除放大攻击的另一种方法是去除任何传入请求的放大因素；如果由于UDP请求而发送的响应数据小于或等于初始请求，则放大就不复可能。

• 采用高性能的网络设备：抗DDoS攻击首先要保证网络设备不能成为瓶颈，因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了，当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。

• 尽量避免NAT的使用：无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用，除了必须使用NAT，因为采用此技术会较大降低网络通信能力，原因很简单，因为NAT需要对地址来回转换，转换过程中需要对网络包的校验和进行计算，因此浪费了很多CPU的时间。

• 充足的网络带宽保证：网络带宽直接决定了能抗受攻击的能力，假若仅有10M带宽，无论采取何种措施都很难对抗现在的 SYNFlood攻击，当前至少要选择100M的共享带宽,1000M的带宽会更好，但需要注意的是，主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的，若把它接在100M的交换机上，它的实际带宽不会超过100M，再就是接在100M的带宽上也不等于就有了百兆的带宽，因为网络服务商很可能会在交换机上限制实际带宽为10M。

• 把网站做成静态页面：大量事实证明，把网站尽可能做成静态页面，不仅能大大提高抗攻击能力，而且还给黑客入侵带来不少麻烦。