局域网端拒绝服务影响目标CPU性能

Question

为什么局域网端的UDP洪流占用目标的CPU资源并使其迟钝？鼠标没有正确的响应，打开一个应用程序很慢.

注意:计算机都连接到一个连接到路由器的交换机上。而且，当打开网页时，明显的目标会变得缓慢，即使在关闭浏览器之后，缓慢的性能仍然保持在相同的水平上。

万一我没有澄清，糟糕的表现发生在被洪水淹没的计算机上，而不是执行洪水的计算机上。一旦拒绝服务停止，目标就返回到它的正常性能。

Answer 1

为什么局域网端的UDP洪流占用目标的CPU资源并使其迟钝？

这取决于许多因素，其中一个主要因素是在接收UDP洪水的系统上正在采取什么行动。让我们来看看这个过程的基础知识。

首先，主机接收UDP通信量。所有接收到的流量都必须在一定程度上进行处理。至少，需要确定UDP通信量的目的端口。这意味着当以太网和IP报头在网络堆栈中移动时被移除，并作为UDP段进行处理。也可能有防火墙规则来处理。

将检查目标端口，以查看是否有应用程序侦听该UDP端口(一个绑定到该端口的服务或可能期望应答通信量的出站通信所使用的端口)。

如果有应用程序监听UDP端口，UDP报头将被移除并传递给应用程序。然后，应用程序需要以其配置的任何方式处理数据。

如果没有，主机可以通过两种方式之一进行响应:静默删除数据或拒绝数据。拒绝数据通常被认为更“友好”，并使调试更容易，因为通知流量被拒绝会被发送回通信源使用ICMP。如果流量被意外地发送到错误的主机或端口，并且可能导致不必要的通信停止(如果发送主机/应用程序识别流量是不需要的)，这是很好的。

所以，我们有一个过程。现在，在这个过程中，如果网络适配器(以及驱动程序、OS等)支持它，那么以上大部分都可以在硬件中完成。硬件上没有做的事情是在CPU上运行的软件中完成的。

CPU的使用从何而来？主要来自以下四种可能性：

• 处理接收到的通信量(以太网-> IP -> UDP)，包括任何防火墙规则
• 检查侦听UDP端口的应用程序
• 在侦听端口上接收的应用程序处理数据
• 生成返回流量(ICMP错误消息)

一个特定的主机之所以变得迟缓，是因为它在软件(即CPU)中执行上述一项或多项操作。

如果主机在硬件中处理通信量(包括防火墙规则)并删除不想要的通信量(或处理拒绝)，则不应该因为UDP洪流到它没有应用程序侦听的UDP端口而对CPU产生影响。

一个特定的应用程序如何被接收到它正在监听的端口的不想要的流量将完全取决于应用程序。