启用 UDP Flood 攻击检测功能时,要求设置一个连接速率阈值,一旦发现保护主机响应的 UDP 连接速率超过该值,防火墙会输出发生 UDP Flood 攻击的告警日志,并且根据用户的配置可以阻止发往该主机的后续连接请求。
UDP协议与TCP 协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDP Flood的服务器安全防护比较困难。其防护要根据具体情况对待:
1.判断包大小,如果是大包攻击则使用防止UDP碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP碎片。
2.攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
3.攻击端口为非业务端口:一个是丢弃所有UDP包,可能会误伤正常业务;一个是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持
市面上比较好用的防UDP flood攻击系统,推荐西部数码的ddos高防增值服务。具有100G+的DDoS清洗能力,在用户遭到DDoS攻击时,通过DDoS高防体系,帮助用户抵御攻击流量,保证业务的正常运行。
西部数码ddos防御服务可以完美防御 UDP Flood、SYN Flood、ACK Flood、ICMP Flood、NTP Flood 、SSDP Flood、DNS Flood、HTTP Flood、CC攻击等。产品链接 https://www.west.cn/cloudhost/ddos.asp