房乐
2
CISAW
CISP-PTE
房乐2
CISAW
CISP-PTE
针对UDP性反射攻击的防御手段有以下这些:
目标IP+源端口限速:可以用于控制反射性攻击,且可以预防未知的反射协议;
源IP限速:单个请求源IP的整体控制;
目标IP限速:单个攻击目标IP的整体可用性控制;
源IP+源端口限速:可以降低部分大客户源IP在访问请求时的副作用影响;
目标IP+目标端口限速:适用于目标IP端口开发范围较大时,可提高业务端口可用率,降低目标整体影响;
包文长度学习:通过对业务历史包文数据的统计学习,可以描绘出正常业务包大小的正态分布图,由此可以清晰识别出构造的超大或超小包攻击包文;
偏移字节数学习:检查学习各个UDP包文中相同偏移未知所包含的相同内容,并将此内容提出作为指纹特征,根据此指纹特征,可以判断UDP包文的丢弃或放行动作;
源端口波动限制:通过对业务正常的流量中,已知可被利用的UDP反射源端口进行统计,对源端口的数量执行监控,在这类源端口出现快速突增的波动时,将该源端口临时封禁,待源端口数量恢复后则解除封禁,可以大大降低攻击造成的影响性;
服务白名单:对于已知的UDP反射协议,如DNS服务器的IP地址添加为白名单,除此之外,其他源IP的53端口请求包,全部封禁,也可以大大减少反射可用点,使UDP反射放大攻击的影响面降低;
地理位置过滤器:针对业务用户的地理位置特性,在遇到UDP反射放大攻击时,可优先从用户量最少地理位置的源IP进行封禁阻断,直到将异常地理位置的源IP请求全部封禁掉,使流量降至服务器可处理的范围之内,或可有效减轻干扰流量,便于其他算法进一步处理;
扩容带宽服务器:增强带宽和服务器的处理能力,增加业务流量和处理极限的可容忍波动范围,可以减轻在防护过程中造成的影响;
改进高可用架构:可以增加业务流量和处理极限的可容忍波动范围,可增加分布式节点,可用性自动调度等机制,以保障有节点中断时快速切换到可用节点。
推荐文章
