UDP 洪水攻擊

UDP 洪水攻擊可能會壓垮伺服器和保護它的防火牆。

學習目標

閱讀本文後,您將能夠:

  • 定義 UDP 洪水 DDoS 攻擊
  • 能夠解釋 UDP 洪水攻擊的運作方式
  • 瞭解針對 UDP 洪水攻擊的幾種緩解策略

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 UDP 洪水攻擊?

UDP 洪水是一種阻斷服務攻擊,攻擊者將大量使用者資料包通訊協定 (UDP) 封包傳送到目標伺服器,旨在壓垮該裝置的處理和回應能力。保護目標伺服器的防火牆也可能因 UDP 洪水而耗盡,導致對合法流量造成阻斷服務。

UDP 洪水攻擊如何運作?

UDP 洪水的運作方式主要是利用伺服器回應傳送到其連接埠之一的 UDP 封包時所採取的步驟。在正常情況下,當伺服器在特定連接埠接收 UDP 封包時,它會透過兩個步驟進行回應:

  1. 伺服器先檢查是否有任何程式正在執行,這些程式當前正在聽候指定連接埠的請求。
  2. 如果任何程式在該連接埠都未收到封包,則伺服器會使用 ICMP (ping) 封包進行回應,來通知傳送者無法連線至目的地。

UDP 洪水就好比酒店接待員轉接呼叫的情況。首先,接待員接到電話,呼叫者要求將其連接到特定客房。然後,接待員需要查看所有房間的清單,以確保客人在客房內,並願意接聽電話。如果接待員瞭解到客人不願意接聽任何電話,他們就必須重新拿起電話,並告訴呼叫者客人不願意接聽電話。如果所有電話線路都突然同時發出類似請求,他們很快就會變得應接不暇。

DDoS 機器人流量比喻

當伺服器收到每個新的 UDP 封包,它會完成這些步驟以處理要求,在這個過程中會利用伺服器資源。傳輸 UDP 封包時,每個封包都會包含來源裝置的 IP 位址。在這種類型的 DDoS 攻擊期間,攻擊者通常不會使用自己的真實 IP 位址,而是會偽造 UDP 封包的來源 IP 位址,從而避免攻擊者的真實位置被暴露,以及避免他們的裝置因來自目標伺服器的回應封包而達到飽和狀態。

由於目標伺服器利用資源來檢查並回應每個接收到的 UDP 封包,當收到大量 UDP 封包時,目標資源會很快耗盡,從而導致對正常流量的阻斷服務。

UDP 洪水 DDoS 攻擊動畫

如何緩解 UDP 洪水攻擊?

大多數作業系統會限制 ICMP 封包的回應率,部分原因是中斷需要 ICMP 回應的 DDoS 攻擊。這種類型的緩解措施的一個缺點是,在攻擊期間,合法的封包也可能在此過程中被篩選掉。如果 UDP 洪水的大小足以使目標伺服器的防火牆的狀態表飽和,則在伺服器層級發生的任何緩解都是不夠的,因為瓶頸將發生在目標裝置的上游。

Cloudflare 如何緩解 UDP 洪水攻擊?

為了在 UDP 攻擊流量到達目標之前對其進行緩解,Cloudflare 會在網路邊緣丟棄與 DNS 無關的所有 UDP 流量。由於 Cloudflare 的 Anycast 網路會將 Web 流量分散到許多資料中心,因此我們有足夠的容量來處理任何規模的 UDP 洪水攻擊。瞭解更多有關 Cloudflare DDoS 防護的資訊。