目前我们处理的大多数UDP流量攻击,绝大部分都是DRDoS(分布式反射拒绝服务)攻击,这种攻击利用的是UDP无连接请求可使用伪造源进行访问的BUG,举个栗子,TCP三次握手中发送与接受的数据大小几乎是对等的,而有些UDP业务发送和返回的数据差距很大,如DNS请求,NTP校验等等,所以此类服务器如果没有做好相应的应对,很容易被变成反射源(代肉鸡).

目前市面的常见反射:

DNS反射:源端口均来自53端口针对目标服务器随机(也可用固定端口伪造)

NTP反射:源端口均来自123端口针对目标服务器随机(也可用固定端口伪造)

SSDP反射:源端口均来自1900端口针对目标服务器随机(也可用固定端口伪造)

Memcache反射:源端口均来自11211端口针对目标服务器随机(也可用固定端口伪造)

天机防护方案:

1.NTP与SSDP属于常见反射攻击类型,天机防火墙已直接集成屏蔽攻击,全局开启即可防护

2.Memcache请将单独服务器策略调整1-52端口UDP保护 54-65535端口UDP保护即可

3.DNS反射,防护方式参考Memcache反射,然后将DNS服务器加入白名单