Hiểu về tấn công DDoS UDP

Hiểu về tấn công DDoS UDP

Tấn công DDoS UDP là gì?

Tương tự như dạng tấn công ddos gây ngập lụt gói ICMP, dạng tấn công UDP xảy ra khi kẻ tấn công gửi một lượng lớn các gói tin UDP với địa chỉ nguồn giả mạo là IP máy bị tấn công (Victim). Theo giao thức, các máy tính nhận được các gói tin UDP này sẽ đọc thông tin header trong gói và gửi theo địa chỉ đích là máy bị tấn công, máy tính vô tình gửi 1 gói UDP trả lời (UDP Datagram response) tới máy bị tấn công.

Theo đó khi khối lượng máy tính tham gia trả gói UDP response rất lớn khoảng 10.000 máy, chúng sẽ làm máy nạn nhân bị quá tải, không còn khả năng phục vụ, thậm chí CPU tăng đột biến do phải xử lý gói UDP quá lớn.

Cách phòng chống tấn công DDoS UDP

 

Trên Router/SW/Firewall:

  • Chỉ mở các kết nối UDP cần thiết, ví dụ UDP port 80 không dùng thì cần tắt bỏ.
  • Limit lượng pps trên mỗi nguồn IP hoặc nhiều nguồn IP, khi qúa ngưỡng request tiếp theo sẽ không phục vụ nữa.   Ví dụ giới hạn 500 packet UDP trên giây bằng iptables, dùng lệnh sau:
#Outbound UDP Flood protection in a user defined chain.
iptables -N udp-flood
iptables -A OUTPUT -p udp -j udp-flood
iptables -A udp-flood -p udp -m limit --limit 50/s -j RETURN
iptables -A udp-flood -j LOG --log-level 4 --log-prefix 'UDP-flood attempt: '
iptables -A udp-flood -j DROP


Trên server:

  • Tắt các dịch vụ không sử dụng, ví dụ: tắt DNS nếu không cần thiết
  • Rào chính sách bảo mật trên firewall, chỉ allow một số port cần thiết.

Xem thêm bài viết tổng quan về tấn công DDoS: https://tabatech.vn/cach-phong-chong-tan-cong-ddos/ 

About the Author

Leave a Reply