DDOS攻击原理及防护方法论

核心提示： 图片看不清楚？请点击这里查看原图（大图），图53端口的UDP Flood攻击抓图：图片看不清楚？请点击这里查看原图（大图），DDOS攻击原理及防护方法论(9)，图UDP Flood大包攻击（占带宽，分片）：图片看不清楚？请点击这里查看原图（大图），因此ICMP Flood出现的频度较低，比

图片看不清楚？请点击这里查看原图（大图）。

图

53端口的UDP Flood攻击抓图：

图片看不清楚？请点击这里查看原图（大图）。

图

UDP Flood大包攻击（占带宽，分片）：

图片看不清楚？请点击这里查看原图（大图）。

图

3.3.2 UDP Flood防护

UDP协议与TCP 协议不同，是无连接状态的协议，并且UDP应用协议五花八门，差异极大，因此针对UDP Flood的防护非常困难。其防护要根据具体情况对待：

判断包大小，如果是大包攻击则使用防止UDP碎片方法：根据攻击包大小设定包碎片重组大小，通常不小于1500。在极端情况下，可以考虑丢弃所有UDP碎片。

攻击端口为业务端口：根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。

攻击端口为非业务端口：一个是丢弃所有UDP包，可能会误伤正常业务；一个是建立UDP连接规则，要求所有去往该端口的UDP包，必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。

3.4 ICMP Flood攻击

3.4.1 原理

ICMP Flood 的攻击原理和ACK Flood原理类似，属于流量型的攻击方式，也是利用大的流量给服务器带来较大的负载，影响服务器的正常服务。由于目前很多防火墙直接过滤ICMP报文，因此ICMP Flood出现的频度较低。比较下面两幅图，就应该可以看出是否有ICMP Flood攻击。