让我们假设这样一种情况,即port 50000一台机器被 UDP 数据包轰炸。然而,port 50000该机器实际上并未打开(即该机器未监听port 50000)。
如此大量的数据包轰炸是否会导致 DDoS 攻击?
如果是,为什么?如果端口关闭,数据包难道不应该像什么事都没发生一样简单地从机器上“弹回”吗?
答案1
是的。发往您主机的数据包仍将被路由到您的机器,并且您的机器仍必须处理这些请求。即使“端口已关闭”,内核/网络堆栈仍必须验证数据包、标头、校验和,然后确定它不支持该请求。在某些情况下,这还会导致数据包的输出试图告诉远程系统您不接受该端口上的数据;再加上每秒的大量请求,您最终可能会增加自己机器上的 DDoS。
唯一的预防措施是在多个层后面对系统进行负载平衡以分配请求,或者联系上游提供商,以便在流量到达您的设备之前丢弃它。