udp洪水是一種拒絕服務攻擊,它利用含有udp數據報的ip數據包對目標主機上的隨機端口進行飽和攻擊。
用戶數據報協議(udp)是一種無連接、無對話的網絡協議。由於udp流量不需要像tcp那樣三次握手,可以低成本的運行。這種特質也使得udp非常脆弱,更容易被濫用,一些udp洪水攻擊能夠利用dns方法攻擊的形式實施,udp並不會定義具體的數據包格式,因此攻擊者攻擊者可創建較大的數據包,將其充滿垃圾和數字,並將它們發往遭受攻擊的主機。需要注意的是,放大和未放大的udp洪水可能源自各種規模的僵屍網絡羣。使用多臺機器將這種攻擊劃分爲分佈式拒絕服務(ddos)威脅。憑藉這些攻擊,攻擊者的目標是攻破防火牆和其他更具有彈性的網絡基礎實施組件。
緩解方法:在最基本的層面上,多數操作系統試圖通過限制ICMP的響應速率來緩解udp洪水攻擊。然而,這種不加選擇的過濾對合法流量也會產生影響。傳統上,udp緩解方法也依靠那些能夠過濾或阻止惡意udp數據包的防火牆。此類方法的效果越來越差,現在的高流量攻擊可以很輕鬆地攻破那些沒有預設預留空間的防火牆。
Incapsula的ddos防護充分利用Anycast技術,在其全局分佈的高容量清洗服務器之間平衡應對這些攻擊負載,在這些清洗服務器上對攻擊進行深度包檢測。
利用專有的專門設計用於內部流量處理的清洗軟件,並基於Ip信譽異常屬性和可疑行爲等因素,Incapsula可識別並過濾惡意ddos數據包。