類型：UDP-Flood 攻擊 2 個改進

UDP在Internet中的應用是比較廣泛的，尤其在一類實時性要求較高，而對數據包傳輸的完整性要求不高的應用來說，這其中以視頻和即時通信最為典型，這些服務首先要求保證的不是質量而是實時性。UDP Flood常發生對DNS服務器以及流媒體視頻服務器上，UDP是基于無連接的協議，當攻擊目標接收到一個UDP數據包時，它會確定目的端口所對應的應用程序。當攻擊目標主機發現該應用程序并不存在時，會產生一個目的地址無法連接的ICMP數據包發送給源地址。如果向攻擊目標主機的端口發送了足夠多的UDP數據包的時候，攻擊目標主機就會崩潰。常見的UDP攻擊有NTP攻擊。

基本原理

UDPFlood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。100k bps的UDPFlood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。由于UDP協議是一種無連接的服務，在UDPFLOOD攻擊中，攻擊者可發送大量偽造源IP地址的小UDP包。但是，由于UDP協議是無連接性的，所以只要開了一個UDP的端口提供相關服務的話，那么就可針對相關的服務進行攻擊。

正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現UDPFlood的情況下，針對同一目標IP的UDP包在一側大量出現，并且內容和大小都比較固定。

主要防護

UDP協議與TCP協議不同，是無連接狀態的協議，并且UDP應用協議五花八門，差異極大，因此針對UDPFlood的防護非常困難。其防護要根據具體情況對待：

判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據攻擊包大小設定包碎片重組大小，通常不小于1500。在極端情況下，可以考慮丟棄所有UDP碎片。

攻擊端口為業務端口：根據該業務UDP最大包長設置UDP最大包大小以過濾異常流量。

攻擊端口為非業務端口：一個是丟棄所有UDP包，可能會誤傷正常業務；一個是建立UDP連接規則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過這種方法需要很專業的防火墻或其他防護設備支持。

UDP攻擊是一種消耗對方資源，同時也消耗攻擊者本身的資源的攻擊方式，已經沒人使用這種過時的東西了。說白了這種攻擊方式僅僅就是拼資源而已，看誰的帶寬大，看誰能堅持到最后，這種攻擊方式沒有技術含量，引用別人的話，不要以為洪水無所不能，攻擊程序在消耗對方資源同時也在消耗攻擊者的資源。