Vulnerability-wiki

UDP 协议漏洞

协议工作原理

UDP（User Datagram Protocol） 是一种无连接的传输层协议，定义在 [RFC 768]。与 TCP 不同，UDP 不提供连接建立、可靠性保证、流量控制或拥塞控制。其主要特点是：

• 无连接性：发送数据前无需建立连接，直接通过 (IP, Port) 标识通信端点。
• 轻量高效：头部仅 8 字节（源端口、目标端口、长度、校验和）。
• 不保证可靠性：不确认、不重传，可能出现丢包、乱序、重复。
• 多播/广播支持：广泛用于 DNS、DHCP、VoIP、视频流等实时应用。

这种设计带来高效与低延迟，但也为攻击者留下了安全隐患。

---

典型漏洞与攻击方式

1. UDP Flood 攻击

• 原理：攻击者发送大量无状态 UDP 报文，占满目标带宽和处理资源。
• 效果：受害者必须不断检查是否有对应应用端口在监听，大量 ICMP “Destination Unreachable” 响应消耗 CPU。
• 应用：典型的 DDoS 攻击手段。

2. UDP 反射/放大攻击

• 原理：利用源 IP 欺骗，将请求伪造为目标 IP，诱使第三方 UDP 服务向目标发送响应。
• 典型协议：
  • DNS 放大：小请求（几十字节）可触发大响应（上千字节）。
  • NTP 放大：利用 monlist 命令，放大倍数超过 400 倍。
  • SSDP/CLDAP/CharGEN 放大：利用局域网发现、轻量目录访问或测试协议。
• 效果：极高带宽放大系数，成为大型 DDoS 的常用手段。

3. UDP Spoofing

• 原理：由于 UDP 无连接，源 IP 容易被伪造。
• 风险：可用于匿名攻击、反射攻击，或欺骗目标应用（如伪造 DNS 响应）。
• 典型场景：DNS 缓存投毒、应用层欺骗。

4. 应用层依赖导致的漏洞

• 原因：UDP 自身几乎没有安全机制，应用层必须负责鉴权与完整性校验。
• 漏洞表现：
  • DNS：缓存投毒、伪造响应。
  • DHCP：伪造服务器响应，导致客户端获取错误网关或 DNS 配置。
  • VoIP：恶意 RTP/RTCP 数据包干扰通话质量。

---

危害

• 可被用作大规模 DDoS 攻击工具（放大与反射）。
• 中间人攻击与流量劫持（伪造响应，投毒缓存）。
• 服务中断与资源消耗（Flood 攻击造成 CPU、带宽耗尽）。
• 应用层安全缺陷扩大（依赖 UDP 的上层协议若未设计安全机制，将直接暴露）。

---

防御与缓解措施

1. 网络层防御

• 反射源治理：
  • 部署 BCP 38（Ingress Filtering），防止源 IP 欺骗。
• 速率限制：
  • 限制 ICMP “Unreachable” 报文频率。
  • 对可被放大的服务（如 DNS、NTP）开启速率限制。
• ACL/防火墙：
  • 严格限制对外暴露的 UDP 服务端口。
  • 屏蔽已知被滥用的 UDP 协议（如 CharGEN）。

2. 应用层防御

• DNS：
  • 启用 DNSSEC 验证。
  • 关闭递归服务或限制为可信 IP。
• NTP：
  • 禁用 monlist 等高风险命令，使用 ntp.conf 配置 disable monitor。
• DHCP：
  • 启用 DHCP snooping。
• VoIP：
  • 使用 SRTP、TLS 等加密协议保护信令与媒体流。

3. 监测与响应

• 部署 流量监控与异常检测（NetFlow/IDS/IPS）。
• 在边界路由器上启用 DDoS 清洗 或黑洞路由。
• 利用威胁情报，及时封禁已知的反射源。

---

相关案例

• 2013 年 Spamhaus DDoS 攻击：利用 DNS 放大，峰值流量超过 300 Gbps。
• 2014 年 NTP 放大攻击：放大倍数超过 400 倍，成为全球主要 DDoS 手法之一。
• 2020 年 CLDAP 放大攻击：被报告用于针对金融与政府机构的 DDoS。

---

参考文献

• RFC 768 – User Datagram Protocol
• RFC 2827 / BCP 38 – Ingress Filtering