深信服社区»版块 安全类 行为管理AC upp flood怎么处理

upp flood怎么处理

查看数: 1478 | 评论数: 7 | 收藏 0
关灯 | 提示:支持键盘翻页<-左 右->
    组图打开中,请稍候......
发布时间: 2023-4-4 10:22

正文摘要:

本帖最后由 “夏” 于 2023-4-4 10:26 编辑 日志里面看不到是哪条策略拦截的,又不能针对udp协议做全拒绝,关键是这个频率还低的很。AC是网桥模式部署的,出口是别的厂商的防火墙,内网PC用杀毒软件也查不出来 ...

回复

星雲1688 发表于 2023-4-24 09:55
感谢楼主的提问,有助于工作!!
tianjt 发表于 2023-4-4 19:30
跟大佬学习一下,
百度之外650001 发表于 2023-4-4 16:45
如果不是丢包引起的那是被攻击的可能性大, 是不是有对外服务的服务器,没有很好的方法
UDP协议与TCP协议不同,是无连接状态的协议,并且UDP应用协议五花八门,差异极大,因此针对UDPFlood的防护非常困难。其防护要根据具体情况对待:
判断包大小,如果是大包攻击则使用防止UDP碎片方法:根据攻击包大小设定包碎片重组大小,通常不小于1500。在极端情况下,可以考虑丢弃所有UDP碎片。
攻击端口为业务端口:根据该业务UDP最大包长设置UDP最大包大小以过滤异常流量。
攻击端口为非业务端口:一个是丢弃所有UDP包,可能会误伤正常业务;一个是建立UDP连接规则,要求所有去往该端口的UDP包,必须首先与TCP端口建立TCP连接。不过这种方法需要很专业的防火墙或其他防护设备支持。
UDP攻击是一种消耗对方资源,同时也消耗攻击者本身的资源的攻击方式,已经没人使用这种过时的东西了。说白了这种攻击方式仅仅就是拼资源而已,看谁的带宽大,看谁能坚持到最后,这种攻击方式没有技术含量,引用别人的话,不要以为洪水无所不能,攻击程序在消耗对方资源同时也在消耗攻击者的资源。
汤汤啊 发表于 2023-4-4 15:43
看看是不是误报吧   感觉更像是误报
Hill_李胜阳 发表于 2023-4-4 15:24
防护有以下两种常用方法:第一种是限流,将报文大小控制在合理范围,范围外就过滤,控制宽带链路负载过大等,同样弊端较大,容易对正常使用流量较多的业务信息造成影响。
第二种是控制数据内容,UDP flood攻击报文通常字段都是相同的,还可以过滤数据内容,如果出现相同的报文就过滤掉。合理控制及防范。希望能够帮助到你!
李会斌 发表于 2023-4-4 11:26
可以做个全拒绝策略,开启直通查看日志
火狐狸 发表于 2023-4-4 10:24
是不是存在APT攻击的可能性。建议联动排查一下。