UDP Flooding攻擊也是基於傳輸層的UDP協議來實現的,但與TCP協議不同的是,UDP協議是面向無連接的,即客戶端和服務端之間直接進行通信,無需建立連接。因此惡意攻擊者利用UDP協議面向無連接的特點,發送大量惡意的UDP數據包攻擊目標網絡帶寬,造成網絡擁堵,並且基於UDP協議的應用層協議的種類也非常多,對於UDP Flooding攻擊的防禦也相對比較困難。
本次UDP Flooding安全測試的環境是基於TCP SYN Flooding安全測試的環境,測試工具還是使用hping3工具實現基於UDP 協議的拒絕服務攻擊。
在kali linux主機上進行UDP Flooding安全測試:
Hping3工具中:
-a選項表示指定僞造的源ip地址
--udp選項表示進行UDP Flooding攻擊
-s選項表示源端口
-p選項表示目標服務開放的服務端口
--flood選項表示指定進行泛洪攻擊
-d選項表示指定UDP Flooding泛洪攻擊的數據包大小,上圖中指定了1000字節大小
在目標主機上通過wireshark工具抓包分析:
在wireshark工具抓取到的數據包中,源和目的封裝的ip地址,源端口號和目的端口號,是我們在kali linux主機上進行測試時所指定的,但是數據包的大小好像並不是我們所指定的1000字節,而是1042字節,這多出來的42字節的數據是怎麼來的呢?
這是因爲hping3工具在進行UDP Flooding攻擊時發送僞造的數據包是基於UDP協議的BOOTP協議,多出來的42字節其實是BOOTP協議封裝的首部。
查看wireshark工具的BOOTP協議數據包的封裝結構:
Malformed Packet表示異常的數據包,也就是說wireshark已經檢測到了BOOTP協議的數據包是有問題的。
爲了更好的分析wireshark抓取到的流量,可以使用I/O流量圖表功能,選擇wireshark:統計 ---> I/O圖表:
在名稱中填寫我們要抓取到的udp,然後在顯示過濾器一欄中輸入對數據包進行過濾,然後進行應用,圖標中紅色線則表示BOOTP協議的數據包流量走勢,I/O圖表中表現更爲直觀。