QUIC洪水与UDP洪水攻击是否相似
两者是不同的,UDP洪水是一种DDoS攻击,使用不需要的UDP数据包压垮目标服务器。QUIC使用UDP,但QUIC洪水不一定等同于UDP洪水。UDP洪水冲垮目标服务器的一种方法是,将伪造的UDP数据包发送到服务器上未实际使用的特定端口。服务器必须使用ICMP错误消息来答复所有数据包,这会占用处理能力并减慢服务器速度。可使用QUIC来进行这种攻击,但对于攻击者来说,没有生成QUIC数据包的额外开销。
预防QUIC洪水型攻击的手段有以下这些:
禁用UDP:对于内存缓存服务器,请确保在不需要时禁用UDP支持。默认情况下,内存缓存启用了UDP支持,这可能会使服务器容易受到攻击。
对内存缓存服务器进行防火墙保护:通过在内存缓存服务器和互联网之间添加防火墙保护,系统管理员可以根据需要使用UDP,而不必暴露于风险中。
防止IP欺骗:只要可以伪造IP地址,DDoS攻击就可以利用此漏洞将流量定向到受害者的网络。防止IP欺骗是一个规模较大的解决方案,无法由特定的系统管理员实施,它要求传输提供商禁止源IP地址源自网络外部的任何数据包离开其网络。换句话说,互联网服务提供商(ISP)之类的公司必须筛选流量,以使离开其网络的数据包不得假装成来自其他地方的其他网络。如果所有主要的传输提供商都实施了这种筛选,基于欺骗的攻击将在一夜之间消失。
开发具有减少UDP响应的软件:消除放大攻击的另一种方法是去除任何传入请求的放大因素;如果由于UDP请求而发送的响应数据小于或等于初始请求,则放大就不复可能。
采用高性能的网络设备:抗DDoS攻击首先要保证网络设备不能成为瓶颈,因此选择路由器、交换机、硬件防火墙等设备的时候要尽量选用知名度高、口碑好的产品。再就是假如和网络提供商有特殊关系或协议的话就更好了,当大量攻击发生的时候请他们在网络接点处做一下流量限制来对抗某些种类的DDoS攻击是非常有效的。
尽量避免NAT的使用:无论是路由器还是硬件防护墙设备都要尽量避免采用网络地址转换NAT的使用,除了必须使用NAT,因为采用此技术会较大降低网络通信能力,原因很简单,因为NAT需要对地址来回转换,转换过程中需要对网络包的校验和进行计算,因此浪费了很多CPU的时间。
充足的网络带宽保证:网络带宽直接决定了能抗受攻击的能力,假若仅有10M带宽,无论采取何种措施都很难对抗现在的 SYNFlood攻击,当前至少要选择100M的共享带宽,1000M的带宽会更好,但需要注意的是,主机上的网卡是1000M的并不意味着它的网络带宽就是千兆的,若把它接在100M的交换机上,它的实际带宽不会超过100M,再就是接在100M的带宽上也不等于就有了百兆的带宽,因为网络服务商很可能会在交换机上限制实际带宽为10M。
把网站做成静态页面:大量事实证明,把网站尽可能做成静态页面,不仅能大大提高抗攻击能力,而且还给黑客入侵带来不少麻烦。