linuxudp攻擊

㈠ 求救：內網經常出現UDP攻擊，全部掉線。急~！

其實方法也挺多的~，比如使用工具檢測，攔截封包分析，以及對協議分析路由器分析等~最簡單的使用XP的CMD窗口下的ARP命令操作就可以了~隨便找台被斷網的機器，開始-運行，輸入CMD回車，打開DOS窗口，輸入
arp
-a
察看現在的MAC地址變動，所替代的MAC即是攻擊源，記下，隨便找個MAC掃描軟體掃描下LAN地址，對照既可找出攻擊的機器了~，其實MAC地址應該預先有備份的~個別的可能有多個MAC指向，是正常的，多打開兩台機器比較就OK了~，比較時盡可能的使用處於不同交換機介面上的機器~
基本一次確定攻擊來源~！

㈡ 什麼是UDP攻擊

完整的說應該是UDP淹沒攻擊
（UDP
Flood
Attack）
UDP
淹沒攻擊是導致基於主機的服務拒絕攻擊的一種。UDP
是一種無連接的協議，而且它不需要用任何程序建立連接來傳輸數據。當攻擊者隨機地向受害系統的埠發送
UDP
數據包的時候，就可能發生了
UDP
淹沒攻擊。當受害系統接收到一個
UDP
數據包的時候，它會確定目的埠正在等待中的應用程序。當它發現該埠中並不存在正在等待的應用程序，它就會產生一個目的地址無法連接的
ICMP
數據包發送給該偽造的源地址。如果向受害者計算機埠發送了足夠多的
UDP
數據包的時候，整個系統就會癱瘓。
UDP
淹沒攻擊的防範
在網路的關鍵之處使用防火牆對來源不明的有害數據進行過濾可以有效減輕
UDP
淹沒攻擊。此外，在用戶的網路中還應採取如下的措施：
禁用或過濾監控和響應服務。
禁用或過濾其它的
UDP
服務。
如果用戶必須提供一些
UDP
服務的外部訪問，那麼需要使用代理機制來保護那種服務，使它不會被濫用。
對用戶的網路進行監控以了解哪些系統在使用這些服務，並對濫用的跡象進行監控。

㈢ 如何使用iptables防火牆攔截無效的UDP攻擊數據

你得看看 linux IPtales 學習之路， 好多配置的命令

1、關閉所有的 INPUT FORWARD OUTPUT 只對某些埠開放。
下面是命令實現：
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
再用命令 iptables -L -n 查看 是否設置好， 好看到全部 DROP 了
這樣的設置好了，我們只是臨時的， 重啟伺服器還是會恢復原來沒有設置的狀態
還要使用 service iptables save 進行保存
看到信息 firewall rules 防火牆的規則 其實就是保存在 /etc/sysconfig/iptables
可以打開文件查看 vi /etc/sysconfig/iptables
2、
下面我只打開22埠，看我是如何操作的，就是下面2個語句
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
再查看下 iptables -L -n 是否添加上去, 看到添加了

㈣ Linux系統如何阻擋UDP攻擊

UDP Server程序
1、編寫UDP Server程序的步驟
(1)使用socket()來建立一個UDP socket，第二個參數為SOCK_DGRAM。
(2)初始化sockaddr_in結構的變數，並賦值。sockaddr_in結構定義：
struct sockaddr_in {
uint8_t sin_len;
sa_family_t sin_family;
in_port_t sin_port;
struct in_addr sin_addr;
char sin_zero[8];
};
這里使用「08」作為服務程序的埠，使用「INADDR_ANY」作為綁定的IP地址即任何主機上的地址。
(3)使用bind()把上面的socket和定義的IP地址和埠綁定。這里檢查bind()是否執行成功，如果有錯誤就退出。這樣可以防止服務程序重復運行的問題。
(4)進入無限循環程序，使用recvfrom()進入等待狀態，直到接收到客戶程序發送的數據，就處理收到的數據，並向客戶程序發送反饋。這里是直接把收到的數據發回給客戶程序。

2、udpserv.c程序內容：
#include <sys/types.h>
#include <sys/socket.h>
#include <string.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>

#define MAXLINE 80
#define SERV_PORT 8888

void do_echo(int sockfd, struct sockaddr *pcliaddr, socklen_t clilen)
{
int n;
socklen_t len;
char mesg[MAXLINE];

for(;;)
{
len = clilen;
/* waiting for receive data */
n = recvfrom(sockfd, mesg, MAXLINE, 0, pcliaddr, &len);
/* sent data back to client */
sendto(sockfd, mesg, n, 0, pcliaddr, len);
}
}

int main(void)
{
int sockfd;
struct sockaddr_in servaddr, cliaddr;

sockfd = socket(AF_INET, SOCK_DGRAM, 0); /* create a socket */

/* init servaddr */
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_addr.s_addr = htonl(INADDR_ANY);
servaddr.sin_port = htons(SERV_PORT);

/* bind address and port to socket */
if(bind(sockfd, (struct sockaddr *)&servaddr, sizeof(servaddr)) == -1)
{
perror("bind error");
exit(1);
}

do_echo(sockfd, (struct sockaddr *)&cliaddr, sizeof(cliaddr));

return 0;
}

UDP Client程序
1、編寫UDP Client程序的步驟
(1)初始化sockaddr_in結構的變數，並賦值。這里使用「8888」作為連接的服務程序的埠，從命令行參數讀取IP地址，並且判斷IP地址是否符合要求。
(2)使用socket()來建立一個UDP socket，第二個參數為SOCK_DGRAM。
(3)使用connect()來建立與服務程序的連接。與TCP協議不同，UDP的connect()並沒有與服務程序三次握手。上面我們說了UDP是非連接的，實際上也可以是連接的。使用連接的UDP，kernel可以直接返回錯誤信息給用戶程序，從而避免由於沒有接收到數據而導致調用recvfrom()一直等待下去，看上去好像客戶程序沒有反應一樣。
(4)向服務程序發送數據，因為使用連接的UDP，所以使用write()來替代sendto()。這里的數據直接從標准輸入讀取用戶輸入。
(5)接收服務程序發回的數據，同樣使用read()來替代recvfrom()。
(6)處理接收到的數據，這里是直接輸出到標准輸出上。

2、udpclient.c程序內容：
#include <sys/types.h>
#include <sys/socket.h>
#include <string.h>
#include <netinet/in.h>
#include <stdio.h>
#include <stdlib.h>
#include <arpa/inet.h>
#include <unistd.h>

#define MAXLINE 80
#define SERV_PORT 8888

void do_cli(FILE *fp, int sockfd, struct sockaddr *pservaddr, socklen_t servlen)
{
int n;
char sendline[MAXLINE], recvline[MAXLINE + 1];

/* connect to server */
if(connect(sockfd, (struct sockaddr *)pservaddr, servlen) == -1)
{
perror("connect error");
exit(1);
}

while(fgets(sendline, MAXLINE, fp) != NULL)
{
/* read a line and send to server */
write(sockfd, sendline, strlen(sendline));
/* receive data from server */
n = read(sockfd, recvline, MAXLINE);
if(n == -1)
{
perror("read error");
exit(1);
}
recvline[n] = 0; /* terminate string */
fputs(recvline, stdout);
}
}

int main(int argc, char **argv)
{
int sockfd;
struct sockaddr_in srvaddr;

/* check args */
if(argc != 2)
{
printf("usage: udpclient <IPaddress>\n");
exit(1);
}

/* init servaddr */
bzero(&servaddr, sizeof(servaddr));
servaddr.sin_family = AF_INET;
servaddr.sin_port = htons(SERV_PORT);
if(inet_pton(AF_INET, argv[1], &servaddr.sin_addr) <= 0)
{
printf("[%s] is not a valid IPaddress\n", argv[1]);
exit(1);
}

sockfd = socket(AF_INET, SOCK_DGRAM, 0);

do_cli(stdin, sockfd, (struct sockaddr *)&servaddr, sizeof(servaddr));

return 0;
}

運行例子程序
1、編譯例子程序
使用如下命令來編譯例子程序：
gcc -Wall -o udpserv udpserv.c
gcc -Wall -o udpclient udpclient.c
編譯完成生成了udpserv和udpclient兩個可執行程序。

2、運行UDP Server程序
執行./udpserv &命令來啟動服務程序。我們可以使用netstat -ln命令來觀察服務程序綁定的IP地址和埠，部分輸出信息如下：
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:6000 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
udp 0 0 0.0.0.0:32768 0.0.0.0:*
udp 0 0 0.0.0.0:8888 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:882 0.0.0.0:*
可以看到udp處有「0.0.0.0:8888」的內容，說明服務程序已經正常運行，可以接收主機上任何IP地址且埠為8888的數據。
如果這時再執行./udpserv &命令，就會看到如下信息：
bind error: Address already in use
說明已經有一個服務程序在運行了。

3、運行UDP Client程序
執行./udpclient 127.0.0.1命令來啟動客戶程序，使用127.0.0.1來連接服務程序，執行效果如下：
Hello, World!
Hello, World!
this is a test
this is a test
^d
輸入的數據都正確從服務程序返回了，按ctrl+d可以結束輸入，退出程序。
如果服務程序沒有啟動，而執行客戶程序，就會看到如下信息：
$ ./udpclient 127.0.0.1
test
read error: Connection refused
說明指定的IP地址和埠沒有服務程序綁定，客戶程序就退出了。這就是使用connect()的好處，注意，這里錯誤信息是在向服務程序發送數據後收到的，而不是在調用connect()時。如果你使用tcpmp程序來抓包，會發現收到的是ICMP的錯誤信息。
參考資料：http://www.cnpaf.net/Class/UDP/0532918532729212.html

㈤ linux iptables 禁止某個MAC來騷擾伺服器應該怎麼寫

很高興為您解答：
你這個是沒法封的，封了以後就不能在使用了
你可以使用騰訊電腦管家ARP防火牆
打開騰訊電腦管家一工具箱一ARP防火牆下載，開啟防護
祝樓主祝您工作、生活愉快！！

㈥ UDP Flood攻擊和防護原理！

一、UDP Flood攻擊原理

UDP Flood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS伺服器或Radius認證伺服器、流媒體視頻伺服器。 100k pps的UDP Flood經常將線路上的骨幹設備例如防火牆打癱，造成整個網段的癱瘓。由於UDP協議是一種無連接的服務，在UDP FLOOD攻擊中，攻擊者可發送大量偽造源IP地址的小UDP包。但是，由於UDP協議是無連接性的，所以只要開了一個UDP的埠提供相關服務的話，那麼就可針對相關的服務進行攻擊。

正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現UDP Flood的情況下，針對同一目標IP的UDP包在一側大量出現，並且內容和大小都比較固定。

二、UDP Flood防護

UDP協議與TCP協議不同，是無連接狀態的協議，並且UDP應用協議五花八門，差異極大，因此針對UDP Flood的防護非常困難。其防護要根據具體情況對待：

判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據攻擊包大小設定包碎片重組大小，通常不小於1500.在極端情況下，可以考慮丟棄所有UDP碎片。

攻擊埠為業務埠：根據該業務UDP最大包長設置UDP最大包大小以過濾異常流量。

攻擊埠為非業務埠：一個是丟棄所有UDP包，可能會誤傷正常業務;一個是建立UDP連接規則，要求所有去往該埠的UDP包，必須首先與TCP埠建立TCP連接。不過這種方法需要很專業的防火牆或其他防護設備支持。

㈦ UDP攻擊怎麼防禦以及防禦原理

UDP攻擊的原理以及防禦方式分析

當下，無孔不入的ddos攻擊已經威脅了多數網站的生存，作為其最主流的攻擊方式之一的UDP flood攻擊，自然也是很多網站主的「噩夢」。下面是關於UDP flood攻擊詳細原理以及防禦方式分析，希望能夠幫助更多的網站主們解決這個「噩夢」

UDP flood 又稱UDP洪水攻擊或UDP淹沒攻擊，UDP是沒有連接狀態的協議，因此可以發送大量的 UDP 包到某個埠，如果是個正常的UDP應用埠，則可能幹擾正常應用，如果是沒有正常應用，伺服器要回送ICMP，這樣則消耗了伺服器的處理資源，而且很容易阻塞上行鏈路的帶寬。

常見的情況是利用大量UDP小包沖擊DNS伺服器或Radius認證伺服器、流媒體視頻伺服器。100k pps的UDPFlood經常將線路上的骨幹設備例如防火牆打癱，造成整個網段的癱瘓。在UDPFLOOD攻擊中，攻擊者可發送大量偽造源IP地址的小UDP包。但是，由於UDP協議是無連接性的，所以只要開了一個UDP的埠提供相關服務的話，那麼就可針對相關的服務進行攻擊，正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現UDPFlood的情況下，針對同一目標IP的UDP包在一側大量出現，並且內容和大小都比較固定。

至於防禦方式，由於UDP協議與TCP協議不同，是無連接狀態的協議，並且UDP應用協議五花八門，差異極大，所以針對UDPFlood的防護非常困難，而且要根據具體情況對待。

UDP協議與TCP協議不同，是無連接狀態的協議，並且UDP應用協議五花八門，差異極大，因此針對UDPFlood的防護非常困難。其防護要根據具體情況對待:?

判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據攻擊包大小設定包碎片重組大小，通常不小於1500。在極端情況下，可以考慮丟棄所有UDP碎片。

攻擊埠為業務埠：根據該業務UDP最大包長設置UDP最大包大小以過濾異常流量。

攻擊埠為非業務埠：一個是丟棄所有UDP包，可能會誤傷正常業務：一個是建立UDP連接規則，要求所有去往該埠的UDP包，必須首先與TCP埠建立TCP連接。不過這種方法需要很專業的防火牆或其他防護設備支持。

再有就是通過防禦平台進行防禦。ddos.cc平台就是專業的防禦平台。平台通過躍點防護理念，一級高防cdn體系，可以將cc攻擊與ddos攻擊徹底排除在網路應用之外，確保網站24小時不間斷運營。