我正在构建一个将使用 UDP 的服务。它将在 Amazon AWS 上运行 - 在他们提供的防火墙中,我可以阻止所有内容,除了我的服务将运行的一个 UDP 端口。
我唯一担心的是从特定 UDP 端口上的随机欺骗 IP 地址接收大量垃圾邮件 UDP 数据包。如果这些欺骗性 IP 地址池受到限制,那么所有这些 IP 地址都可能被列入第 3 方防火墙的黑名单。但是,如果每个数据包都可以有随机的 32 位 IP 地址,那么我想不出一种从合法数据包中识别它的方法。
有没有办法防御这种攻击?
如何应对UDP带宽耗尽DDoS攻击?
信息安全
网络
攻击
ddos
云计算
UDP
2021-08-25 02:23:24
2个回答
你绝对绑定到UDP吗?TCP 修复了 IP 欺骗攻击。
IPSEC?如果每个数据包都来自预先确定的受信任设备,您可以添加 authentication-header 来验证它。
DDoS 攻击的目标是耗尽您的一些资源(带宽、CPU、RAM、磁盘……)。它们通常有两种:
- 利用您的服务器(或后端)上的漏洞,攻击者只需付出很小的努力(资源明智)即可影响资源。Sloworis就是这样一个例子。解决方案通常是来自供应商的修复。
- 利用与攻击者相比您的带宽有限这一事实。解决方案,当它起作用时,是使用中间体(CloudFlare,Akamai,...),它会在流量到达您之前神奇地清理流量。神奇=可能有效或无效的专有解决方案。无论如何,当这样的流量激增到达您时,保护自己为时已晚 - 必须从您的上游处理数据包。
在您的情况下,这很可能是第 2 种情况。
如果您有来自单个 IP 的 DoS,您可以通过丢弃其流量在防火墙级别处理它。不过,这通常是一种非常原始的攻击。