UDP Flood攻擊原理

UDP Flood是日漸猖厥的流量型DoS攻擊，原理也很簡單。常見的情況是利用大量UDP小包沖擊DNS服務器或Radius認證服務器、流媒體視頻服務器。 100k pps的UDP Flood經常將線路上的骨干設備例如防火墻打癱，造成整個網段的癱瘓。由于UDP協(xié)議是一種無連接的服務，在UDP FLOOD攻擊中，攻擊者可發(fā)送大量偽造源IP地址的小UDP包。但是，由于UDP協(xié)議是無連接性的，所以只要開了一個UDP的端口提供相關服務的話，那么就可針對相關的服務進行攻擊。

正常應用情況下，UDP包雙向流量會基本相等，而且大小和內容都是隨機的，變化很大。出現(xiàn)UDP Flood的情況下，針對同一目標IP的UDP包在一側大量出現(xiàn)，并且內容和大小都比較固定。

UDP Flood防護

UDP協(xié)議與TCP協(xié)議不同，是無連接狀態(tài)的協(xié)議，并且UDP應用協(xié)議五花八門，差異極大，因此針對UDP Flood的防護非常困難。其防護要根據(jù)具體情況對待：

判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據(jù)攻擊包大小設定包碎片重組大小，通常不小于1500.在極端情況下，可以考慮丟棄所有UDP碎片。

攻擊端口為業(yè)務端口：根據(jù)該業(yè)務UDP最大包長設置UDP最大包大小以過濾異常流量。

攻擊端口為非業(yè)務端口：一個是丟棄所有UDP包，可能會誤傷正常業(yè)務;一個是建立UDP連接規(guī)則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過這種方法需要很專業(yè)的防火墻或其他防護設備支持。

防火墻在默認的設置下就能很有效的防御此類攻擊。

防火墻的“防護參數(shù)”面板，其中的“UDP保護觸發(fā)”和“碎片保護觸發(fā)”這2個設置項就是專門針對此類攻擊的防御設置，其中“碎片保護觸發(fā)”是專門針對UDP碎片攻擊的防御設置，默認配置下就能很好的防御UDP Flood類型的攻擊了。

針對53端口(DNS服務器)UDP攻擊的防御，可以查看：UDP DNS Query Flood攻擊原理與使用防火墻進行防護。