3.3 UDP Flood攻擊

3.3.1 原理

    UDP Flood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包衝擊DNS伺服器或Radius認證伺服器、流媒體視訊伺服器。 100k pps的UDP Flood經常將線路上的骨幹裝置例如防火牆打癱，造成整個網段的癱瘓。由於UDP協議是一種無連線的服務，在UDP FLOOD攻擊中，攻擊者可傳送大量偽造源IP地址的小UDP包。但是，由於UDP協議是無連線性的，所以只要開了一個UDP的埠提供相關服務的話，那麼就可針對相關的服務進行攻擊。

    正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現UDP Flood的情況下，針對同一目標IP的UDP包在一側大量出現，並且內容和大小都比較固定

圖

53埠的UDP Flood攻擊抓圖：

圖

UDP Flood大包攻擊（佔頻寬，分片）：

圖

3.3.2 UDP Flood防護

    UDP協議與TCP 協議不同，是無連線狀態的協議，並且UDP應用協議五花八門，差異極大，因此針對UDP Flood的防護非常困難。其防護要根據具體情況對待：

    判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據攻擊包大小設定包碎片重組大小，通常不小於1500。在極端情況下，可以考慮丟棄所有UDP碎片。

    攻擊埠為業務埠：根據該業務UDP最大包長設定UDP最大包大小以過濾異常流量。

    攻擊埠為非業務埠：一個是丟棄所有UDP包，可能會誤傷正常業務；一個是建立UDP連線規則，要求所有去往該埠的UDP包，必須首先與TCP埠建立TCP連線。不過這種方法需要很專業的防火牆或其他防護裝置支援。