一、在UDP flooding中，攻擊者則是通過連接目標系統(tǒng)的changen端口到偽造源地址指向的主機的echo端口，導致changen端口產(chǎn)生大量的隨機字符到echo端口，而echo端口又將接收到的字符返回，最后導致兩個系統(tǒng)都因耗盡資源而崩潰。
二、為了防御UDP flooding，我們必須防止路由器的診斷端口或服務(wù)向管理域之外的區(qū)域開放，如果不需要使用這些端口或者服務(wù)，應(yīng)該將其關(guān)閉，防止IP源地址欺騙的最有效方法就是驗證源地址的真實性，在Cisco路由器上，我們可以采用下列兩種方法：
1、在網(wǎng)絡(luò)邊界實施對IP源地址欺騙的過濾，阻止IP源地址欺騙的一個最簡單有效的方法是通過在邊界路由器使用向內(nèi)的訪問列表，限制下游網(wǎng)絡(luò)發(fā)進來的數(shù)據(jù)包確實是在允許接受的地址范圍，不在允許范圍的數(shù)據(jù)將被刪除。同時，為了追溯攻擊者，可以使用log記錄被刪除的數(shù)據(jù)信息 。
2、使用反向地址發(fā)送，使用訪問控制列表在下游入口處做ip限制，是基于下游ip地址段的確定性，但在上游入口處，流入數(shù)據(jù)的ip地址范圍有時是難于確定的。在無法確定過濾范圍時，一個可行的方法是使用反向地址發(fā)送。
三、uRPF的工作原理是：當路由器在一個接口上收到一個數(shù)據(jù)包時，它會查找CEF(Cisco Express Forward)表，驗證是否存在從該接收接口到包中指定的源地址之間的路由，即反向查找路徑，驗證其真實性，如果不存在這樣的路徑就將數(shù)據(jù)包刪除，相比訪問控制列表，uRPF具有很多優(yōu)點，例如：耗費CPU資源少、可以適應(yīng)路由器路由表的動態(tài)變化(因為CEF表會跟隨路由表的動態(tài)變化而更新)，所以維護量更少，對路由器的性能影響較小。
四、在攻擊中，攻擊者將ping數(shù)據(jù)包發(fā)向一個網(wǎng)絡(luò)的廣播地址，路由器在接收到該廣播包之后，默認會將這個第三層廣播轉(zhuǎn)換成第二層廣播，而該廣播網(wǎng)段上的所有以太網(wǎng)接口卡在接收到這個第二層廣播之后，就會向主機系統(tǒng)發(fā)出中斷請求，并對這個廣播作出回應(yīng)，從而消耗了主機資源，并且做出的回應(yīng)可能造成對源地址所指目標的攻擊，所以，在絕大多數(shù)情況下，應(yīng)該在邊界路由器上禁止定向廣播，使用以下接口命令禁止
五、在絕大部分情況下，是不需要使用路由器的定向廣播功能的，會使用定向廣播的特例也有，例如，如果一臺SMB或者NT服務(wù)器需要讓一個遠程的LAN能夠看到自己，就必須向這個LAN發(fā)送定向廣播，但對于這種應(yīng)用可以通過使用WINS服務(wù)器解決。
六、當前絕大部分的操作系統(tǒng)都可以通過特別的設(shè)置，使主機系統(tǒng)對于ICMP ECHO廣播不做出回應(yīng)，通過阻止網(wǎng)絡(luò)上的主機對ICMP ECHO廣播做出回應(yīng)，可以阻止該廣播網(wǎng)絡(luò)成為攻擊的幫兇。
總結(jié)：通過上面我們可以知道，當大量的數(shù)據(jù)涌入一個接口的時候，即使使用了訪問策略對ICMP包進行了刪除，接口還是可能會因為忙于不斷刪除大量數(shù)據(jù)而導致接口不能提供正常服務(wù)，與被動的刪除數(shù)據(jù)相比，一個主動的方法是，在接口上設(shè)置承諾速率限制，將特定數(shù)據(jù)的流量限制在一個范圍之內(nèi)，允許其適量的通過，同時保證了其它流量的正常通過。

最新評論