防范篇流量型之UDP Flood及防御

浅浅的花香味﹌ 2022-01-16 10:09 411阅读 0赞

大家好，强叔又来了！上一期，强叔给大家介绍了SYN Flood的\*\*\*和防御，本期强叔将带领大家一起来学习一下另一种常见的流量型\*\*\*：UDP Flood。

讲UDP Flood之前，强叔还是先从UDP协议讲起。在讲SYN Flood的时候，我们知道了TCP协议是一种面向连接的传输协议。但是UDP协议与TCP协议不同， UDP是一个无连接协议。使用UDP协议传输数据之前，客户端和服务器之间不建立连接，如果在从客户端到服务器端的传递过程中出现数据的丢失，协议本身并不能做出任何检测或提示。因此，通常人们把UDP协议称为不可靠的传输协议。  
既然UDP是一种不可靠的网络协议，那么还有什么使用价值或必要呢？

其实不然，在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能，但是在实际执行的过程中会占用大量的系统开销，无疑使传输速度受到严重的影响。反观UDP，由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应用来完成，极大降低了执行时间，使传输速度得到了保证。

正是UDP协议的广泛应用，为\*\*\*们发动UDP Flood\*\*\*提供了平台。UDP Flood属于带宽类\*\*\*，\*\*\*们通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，通常会造成以下危害：

*  消耗网络带宽资源，严重时造成链路拥塞。
 *  大量变源变端口的UDP Flood会导致依靠会话转发的网络设备，性能降低甚至会话耗尽，从而导致网络瘫痪。

防火墙对UDP Flood的防御并不能像SYN Flood一样，进行源探测，因为它不建立连接。那应该怎么防御呢？  
最初防火墙对UDP Flood的防御方式就是限流，通过限流将链路中的UDP报文控制在合理的带宽范围之内。  
防火墙上针对UDP Flood的限流有三种：

*   基于目的IP地址的限流：即以某个IP地址作为统计对象，对到达这个IP地址的UDP流量进行统计并限流，超过部分丢弃。
 *  基于目的安全区域的限流：即以某个安全区域作为统计对象，对到达这个安全区域的UDP流量进行统计并限流，超过部分丢弃。
 *   基于会话的限流：即对每条UDP会话上的报文速率进行统计，如果会话上的UDP报文速率达到了告警阈值，这条会话就会被锁定，后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时，防火墙会解锁此会话，后续命中此会话的报文可以继续通过。

限流虽然可以有效缓解链路带宽的压力，但是这种方式简单粗暴，容易对正常业务造成误判。为了解决这个问题，防火墙又进一步推出了针对UDP Flood的指纹学习功能。

![showp_w_picpath-10079677-10118533-b9a9c90067a531a1e027a9210364cf39.jpg][]

仔细分析，不难发现，UDP Flood\*\*\*报文具有一定的特点，这些\*\*\*报文通常都拥有相同的特征字段，比如都包含某一个字符串，或整个报文内容一致。这些字段来自于DDoS工具自带的默认字符串，所以防火墙是通过收集这些字符串来检测UDP Flood。这种防御算法在现网使用很多，主要因为\*\*\*为了加大\*\*\*频率，快速、长时间挤占\*\*\*目标所在网络带宽，在使用\*\*\*工具实现时直接在内存存放一段内容，然后高频发送到\*\*\*目标，所以\*\*\*报文具有很高的相似性。而正常业务的UDP报文一般每个报文负载内容都是不一样的，这样可以减少误判。  
从下面的抓包中可以看出，到达相同目的IP地址的两个UDP报文的载荷是完全一样的，如果防火墙收到大量的类似这样的UDP报文，那么就有可能是发生了UDP Flood\*\*\*。  
![showp_w_picpath-10079671-10118533-45438a9f459da0308bdae722f455fb58.jpg][]![showp_w_picpath-10079673-10118533-1491ad61d90b80bbe4844a481bbed7f5.jpg][]

指纹学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容，来判定这个UDP报文是否异常。防火墙对到达指定目的地的UDP报文进行统计，当UDP报文达到告警阈值时，开始对UDP报文的指纹进行学习。如果相同的特征频繁出现，就会被学习成指纹，后续命中指纹的报文判定这是\*\*\*报文，作为\*\*\*特征进行过滤。

强叔再给大家总结一下，防火墙防御UDP Flood\*\*\*主要有两种方式：限流和指纹学习，两种方式各有利弊。限流方式属于暴力型，可以很快将UDP流量限制在一个合理的范围内，但是不分青红皂白，超过就丢，可能会丢弃一些正常报文；而指纹学习属于理智型，不会随意丢弃报文，但是发生\*\*\*后需要有个指纹学习的过程。目前，指纹学习功能是针对UDP Flood\*\*\*的主流防御手段，在华为防火墙产品中广泛应用。

**强叔提问**  
大家之前有没有配置过防火墙的UDP Flood防御功能？在配置过程中有遇到过什么样的问题吗？

转载于:https://blog.51cto.com/hanjh8/1580701

[showp_w_picpath-10079677-10118533-b9a9c90067a531a1e027a9210364cf39.jpg]: /images/20220114/ed57c524d64e44fb85e0e535b76ef46a.png
[showp_w_picpath-10079671-10118533-45438a9f459da0308bdae722f455fb58.jpg]: http://support.huawei.com/ecommunity/showp_w_picpath-10079671-10118533-45438a9f459da0308bdae722f455fb58.jpg
[showp_w_picpath-10079673-10118533-1491ad61d90b80bbe4844a481bbed7f5.jpg]: /images/20220114/6dec43c3769b4f63ac4fa8a8e23468b7.png