5-wireshark网络安全分析——UDP Flooding攻击

UDP Flooding攻击也是基于传输层的UDP协议来实现的，但与TCP协议不同的是，UDP协议是面向无连接的，即客户端和服务端之间直接进行通信，无需建立连接。因此恶意攻击者利用UDP协议面向无连接的特点，发送大量恶意的UDP数据包攻击目标网络带宽，造成网络拥堵，并且基于UDP协议的应用层协议的种类也非常多，对于UDP Flooding攻击的防御也相对比较困难。

 

本次UDP Flooding安全测试的环境是基于TCP SYN Flooding安全测试的环境，测试工具还是使用hping3工具实现基于UDP 协议的拒绝服务攻击。

 

在kali linux主机上进行UDP Flooding安全测试：

 

Hping3工具中：

-a选项表示指定伪造的源ip地址

--udp选项表示进行UDP Flooding攻击

-s选项表示源端口

-p选项表示目标服务开放的服务端口

--flood选项表示指定进行泛洪攻击

-d选项表示指定UDP Flooding泛洪攻击的数据包大小，上图中指定了1000字节大小

 

在目标主机上通过wireshark工具抓包分析：

在wireshark工具抓取到的数据包中，源和目的封装的ip地址，源端口号和目的端口号，是我们在kali linux主机上进行测试时所指定的，但是数据包的大小好像并不是我们所指定的1000字节，而是1042字节，这多出来的42字节的数据是怎么来的呢？

 

这是因为hping3工具在进行UDP Flooding攻击时发送伪造的数据包是基于UDP协议的BOOTP协议，多出来的42字节其实是BOOTP协议封装的首部。

 

 

查看wireshark工具的BOOTP协议数据包的封装结构：

Malformed Packet表示异常的数据包，也就是说wireshark已经检测到了BOOTP协议的数据包是有问题的。

 

 

为了更好的分析wireshark抓取到的流量，可以使用I/O流量图表功能，选择wireshark：统计 ---> I/O图表：

在名称中填写我们要抓取到的udp，然后在显示过滤器一栏中输入对数据包进行过滤，然后进行应用，图标中红色线则表示BOOTP协议的数据包流量走势，I/O图表中表现更为直观。