針對 UDP 性反射攻擊的防御手段有哪些

針對UDP性反射攻擊的防御手段有以下這些：

• 目標IP+源端口限速：可以用于控制反射性攻擊，且可以預防未知的反射協議；

• 源IP限速：單個請求源IP的整體控制；

• 目標IP限速：單個攻擊目標IP的整體可用性控制；

• 源IP+源端口限速：可以降低部分大客戶源IP在訪問請求時的副作用影響；

• 目標IP+目標端口限速：適用于目標IP端口開發范圍較大時，可提高業務端口可用率，降低目標整體影響；

• 包文長度學習：通過對業務歷史包文數據的統計學習，可以描繪出正常業務包大小的正態分布圖，由此可以清晰識別出構造的超大或超小包攻擊包文；

• 偏移字節數學習：檢查學習各個UDP包文中相同偏移未知所包含的相同內容，并將此內容提出作為指紋特征，根據此指紋特征，可以判斷UDP包文的丟棄或放行動作；

• 源端口波動限制：通過對業務正常的流量中，已知可被利用的UDP反射源端口進行統計，對源端口的數量執行監控，在這類源端口出現快速突增的波動時，將該源端口臨時封禁，待源端口數量恢復后則解除封禁，可以大大降低攻擊造成的影響性；

• 服務白名單：對于已知的UDP反射協議，如DNS服務器的IP地址添加為白名單，除此之外，其他源IP的53端口請求包，全部封禁，也可以大大減少反射可用點，使UDP反射放大攻擊的影響面降低；

• 地理位置過濾器：針對業務用戶的地理位置特性，在遇到UDP反射放大攻擊時，可優先從用戶量最少地理位置的源IP進行封禁阻斷，直到將異常地理位置的源IP請求全部封禁掉，使流量降至服務器可處理的范圍之內，或可有效減輕干擾流量，便于其他算法進一步處理；

• 擴容帶寬服務器：增強帶寬和服務器的處理能力，增加業務流量和處理極限的可容忍波動范圍，可以減輕在防護過程中造成的影響；

• 改進高可用架構：可以增加業務流量和處理極限的可容忍波動范圍，可增加分布式節點，可用性自動調度等機制，以保障有節點中斷時快速切換到可用節點。

回答所涉及的環境：聯想天逸510S、Windows 10。