UDP協議全稱“使用者資料報協議”，User Datagram Protocol，是一種傳輸層協議。UDP協議是一種無連線的協議，不提供資料報的分組、組裝，不對資料包的傳輸進行確認，當報文傳送出去後，傳送端不關心報文是否完整的到達對端。這個聽起來像是缺點的特點，卻是UDP協議最大的優點。這種報文處理方式決定了UDP協議資源消耗小，處理速度快，所以通常音訊、視訊和普通資料傳送時使用UDP比較多。就比如音訊或視訊吧，大家在看視訊或者聽音樂的時候，都是追求資料傳輸更快一些，而在傳輸過程中，偶爾丟一兩個資料包，對整體效果並不會產生太大的影響。

流量型 DOS攻擊只要開放一個udp埠，即可針對該伺服器發起攻擊。

UDP Flood屬於頻寬類攻擊，黑客們通過殭屍網路向目標伺服器發起大量的UDP報文，這種UDP報文通常為大包，且速率非常快，通常會造成以下危害：

消耗網路頻寬資源，嚴重時造成鏈路擁塞。

大量變源變埠的UDP Flood會導致依靠會話轉發的網路裝置，效能降低甚至會話耗盡，從而導致網路癱瘓。

防火牆對UDP Flood的防禦並不能像SYN Flood一樣，進行源探測，因為它不建立連線。

防火牆上針對UDP Flood的限流有三種：

基於目的IP地址的限流：即以某個IP地址作為統計物件，對到達這個IP地址的UDP流量進行統計並限流，超過部分丟棄。

基於目的安全區域的限流：即以某個安全區域作為統計物件，對到達這個安全區域的UDP流量進行統計並限流，超過部分丟棄。

基於會話的限流：即對每條UDP會話上的報文速率進行統計，如果會話上的UDP報文速率達到了告警閾值，這條會話就會被鎖定，後續命中這條會話的UDP報文都被丟棄。當這條會話連續3秒或者3秒以上沒有流量時，防火牆會解鎖此會話，後續命中此會話的報文可以繼續通過。

限流雖然可以有效緩解鏈路頻寬的壓力，但是這種方式簡單粗暴，容易對正常業務造成誤判。為了解決這個問題，防火牆又進一步推出了針對UDP Flood的指紋學習功能。

UDP Flood攻擊報文具有一定的特點，這些攻擊報文通常都擁有相同的特徵欄位，比如都包含某一個字串，或整個報文內容一致。這些欄位來自於DDoS工具自帶的預設字串，所以防火牆是通過收集這些字串來檢測UDP Flood。

指紋學習是通過分析客戶端向伺服器傳送的UDP報文載荷是否有大量的一致內容，來判定這個UDP報文是否異常。防火牆對到達指定目的地的UDP報文進行統計，當UDP報文達到告警閾值時，開始對UDP報文的指紋進行學習。如果相同的特徵頻繁出現，就會被學習成指紋，後續命中指紋的報文判定這是攻擊報文，作為攻擊特徵進行過濾。

本文來自部落格園，作者：{admin-xiaoli}，轉載請註明原文連結：{https://www.cnblogs.com/crackerroot}