UDP (User Datagram Protocal)即用户数据报协议,主要用来支持需要在计算机之间传输数据的网络应用。包括网络视频会议系统在内的众多的客户/服务器模式的网络应用都需要使UDP协议。KFW傲盾防火墙通过分析底层通讯协议来防护UDP攻击。比较常用UPD攻击软件如:阿拉丁UDP洪水攻击器2.1 。
一.如何得知自己被UDP攻击?
1.单击KFW 企业版网络监控
2.点击‘查询视图’,点击‘所有连接列表’点击右侧‘协议’选择UDP,可以看到所有的UDP连接的源IP,目的IP,源端口,目的端口。假设你的服务器平常的UDP连接是100个左右,现在在连接列表里的UDP连接突然到达500个,这时你的服务器肯定遭受搅薝DP攻击。
3.确定UDP的攻击量,双击KFW企业版管理器
4.输入帐户密码登陆管理器
5.点击‘流量监控’,点击‘开始流量监控’,在下拉菜单中选中你的IP地址。
6.点击‘发送字节’和‘接受字节’如下图。
7.你可以看到你的服务器瞬时发送的字节和接受的字节数。下图是发送字节和接受字节分别是74 ,时间是7:32分52秒。假如你的接受字节是120,000,000. 120万个字节,约等于12兆字节,换算成比特位就是12兆X 8 = 96兆带宽。这就意味这UDP攻击占用了你96兆带宽。
二.如何设置防护UDP攻击规则
1.点击‘设置’-‘DOS攻击防护’-‘接受包流量限制’
2.如上图,我们可以看到,傲盾防火墙已经内置了三个防护ICMP,UDP,和IGMP的规则。选中‘UDP攻击防护’规则。单击‘修改
3.下图的‘源地址’可以选择攻击者的源IP,由于攻击的源IP都是伪造的,‘源地址’可以选择‘任何IP地址’。源地址下面的端口类型也可以选‘任何端口’。‘目的地址’下面的IP类型是你服务器的IP地址,即可以添加你服务器的IP地址,也可以是‘任何IP地址’端口选择你服务器的UDP端口,或者是‘任何端口’。下面的设置是每秒可以通过1000个UDP包,傲盾防火墙象一个阀门,当每秒的UDP包到达1200时候,超出的200个包将被拦截。
4.每秒可以通过的包可以根据你的服务器情况设定。假如平常的UDP包是100个,那么可以设定成每秒可以通过100个包,多余的包拦截。如下图
5.运行最大突发是在5秒内允许最大的每秒通过UDP包,假设上图所示,从1到5秒的时间突然UDP增加到200每秒,那么傲盾防火墙允许这200X 5=1000个包通过,当的六秒的时候,将会恢复100个包每秒的规则。‘智能处理’是针对硬防防火墙的选项,软防一般不要选。
三.如何评估防护结果
对于UDP攻击包,傲盾防火墙就象一个阀门,把规则设定的UDP包放进来,把多余的拦截调。但是我们有的时候,设定了傲盾防火墙的UDP规则,ping服务器仍然丢包,这个时候你要考虑你的带宽了。假如你的带宽是百兆独享,在傲盾企业版本网络监控里面,接受字节是120,000,000. (120万个字节),约等于12兆字节,换算成比特位就是12兆X 8 = 96兆带宽。这就意味这UDP攻击占用了你96兆带宽。加上你发送的字节数,你的服务器带宽已经被占用完。虽然UDP包被傲盾防火墙拦截,但是你的服务器可能不能正常的工作,这时你需要临时增加带宽,以抵御UDP攻击。