我们应该经常在群里面看见卖服务器的发广告,宣传自己的服务器防御多高多高,比如经常看见的什么什么宿迁高防200g,上层封udp之类的,那么你知道这个封udp究竟是个怎么个封法吗?难道真的只是从防火墙上面把udp协议禁掉吗?我也是问了很多做idc的大佬,来看一看吧!
首先我们要明白udp是什么,这个大家应该都明白吧*罒▽罒*UDP,全名UserDataProtocol是一种网络协议,目前,我们常见的需要使用udp的有这么几种,dns服务器,ntp服务器,memc,等等,那么我们为什么要封udp? 简单的讲下,Udp一般都是向对方发出一个数据包,然后不需要反馈,说白了是传输数据,不需要建立连接,不需要反馈,是否接受,跟那个鸡汤来了一样,你不喝也得喝,所以udp特别不可靠,但是udp的速度比较快。
然后为什么我们要封udp?目前来看,udp的攻击流量比较猖狂,而且udp反射攻击随随便便打几百g,例如ntp反射攻击,只需要一个支持伪造的服务器,轻轻松松打出接近上百g,成本真的是极其的低。下图是上次一个d客我用我腾讯云帮他测的量截图。
300多个g的攻击流量,我看了一下,主要都是udp打出的流量多,那么你想想吧,轻轻松松打出这么高的流量,而且好像这个量只是个人弄得几台发包机打出的流量,如果发包机再多一点可想而知。
如果不给他封堵的话再高防御也承受不住啊,所以现在大部分高防服务器都会封堵udp来进行防御,目前我在TG上看见的最大udp量大概是1.2tbps的量,而且专门找个人测试过
那么会有人问了,我直接自己装一个安全狗来封禁udp协议不行了?那么我只能说你太天真了,我也这样想过,但是最终肯定不是这样,而且这个我也专门咨询了做这行的大佬,可以看下面截图
可以看到,如果我们单纯的以为自己用安全狗封禁udp协议完事了,那么肯定是不行的,如果这样能防住攻击的话,那么机房也不用想尽办法去整各种硬件去抗攻击了,而且那些高防服务器估计卖不动了。
这位大佬说的我来简单解释一下,首先,攻击的流量过来的时候是要经过运营商大网,然后经过清洗设备,再进入核心交换机,最后进入你的服务器,假如利用安全狗把udp协议禁止,但是流量还是会过来还是要经过大网,经过清洗设备,那么超过他们的阀值,依旧会黑洞,通过黑洞来防止机房网络收到牵连。
那么难道使用安全狗封udp一点用没有吗?那倒也不是,我也专门进行了一些测试,比如腾讯云安全狗封禁udp,ucloud使用官方的防火墙封禁一切udp,进行测试,看下图
从开头2gbps到中途21gbps,整体来说都特别稳定,使用的攻击方法是ntp攻击,这说明什么?肯定还是有一点用的,这个机器免费防御在峰值5gbps左右,这明显已经超过了,如果不使用安全狗封禁udp,那么5gbps左右必定封禁2小时,但是量再大一点还是会黑洞,看下图
确实有那么一点用,但是量大的时候依旧还是会封的,毕竟你这些流量都是要经过大网,机房,所以哪怕流量没有进机器,也会影响。
还有我对我的台湾ucloud进行了一次测试,机房防火墙封udp前,大概2gbps直接封堵,但是我使用他们自带的防火墙封udp,攻击流量大概是10g,但是没什么影响,攻击继续扩大,大概在峰值60gbps,然后发过来邮箱,跟我说遭受了10gbps的攻击,然后封堵。
也是说,还是有所缓解的,然后咱们再来说说这个正确封udp究竟是哪里封udp,真实的封udp,其实是运营商上层封udp,说白了是udp流量运营商上层给你抗了,而有一些卖服务器的说的封udp实际是机房上层封udp,机房利用防火墙策略封堵udp,这种的其实说句实话并不算是真正封udp机器,以前我也遇见过卖这种机器的,那会我记得有过d客进行过测试,50g扬州bgp,机房封堵udp,但是他以200gbps的攻击,长时间压,大概一个小时左右,这个IP还是封堵了,封堵原因:运营商封堵ip所以说像这种机房封堵udp的,只能说有用,但是并不是真正封udp,而且作用肯定不是很大,当攻击过来的时候还是没用。
暂无评论内容