目前我們處理的大多數UDP流量攻擊,絕大部分都是DRDoS(分布式反射拒絕服務)攻擊,這種攻擊利用的是UDP無連接請求可使用偽造源進行訪問的BUG,舉個栗子,TCP三次握手中發送與接受的數據大小幾乎是對等的,而有些UDP業務發送和返回的數據差距很大,如DNS請求,NTP校驗等等,所以此類服務器如果沒有做好相應的應對,很容易被變成反射源(代肉雞).
目前市面的常見反射:
DNS反射:源端口均來自53端口針對目標服務器隨機(也可用固定端口偽造)
NTP反射:源端口均來自123端口針對目標服務器隨機(也可用固定端口偽造)
SSDP反射:源端口均來自1900端口針對目標服務器隨機(也可用固定端口偽造)
Memcache反射:源端口均來自11211端口針對目標服務器隨機(也可用固定端口偽造)
天機防護方案:
1.NTP與SSDP屬于常見反射攻擊類型,天機雷竞技reybat官网墻已直接集成屏蔽攻擊,全局開啟即可防護
2.Memcache請將單獨服務器策略調整1-52端口UDP保護 54-65535端口UDP保護即可
3.DNS反射,防護方式參考Memcache反射,然后將DNS服務器加入白名單