'高防服務器之UDP Flood防護'

使用高防服務器租用，大概都聽過UDP Flood攻擊。UDP Flood攻擊又稱UDP淹沒攻擊，是流量型DoS攻擊的一種，常常利用大量UDP小包衝擊DNS服務器或Radius認證服務器、流媒體視頻服務器。

　UDP Flood攻擊又稱UDP淹沒攻擊，是流量型DoS攻擊的一種，常常利用大量UDP小包衝擊DNS服務器或Radius認證服務器、流媒體視頻服務器。

由於UDP協議是一種無連接的服務，在發動UDPFLOOD攻擊時，攻擊者發送大量偽造源IP地址的小UDP包，導致被攻擊者系統癱瘓。但是，由於UDP協議是無連接性的，所以只要開了一個UDP的端口提供相關服務的話，那麼就可針對相關的服務進行攻擊。

1. UDP協議與TCP協議不同，是無連接狀態的協議，並且UDP應用協議五花八門，差異極大，因此針對UDPFlood的防護非常困難。其防護要根據具體情況對待：

2. 在網絡的關鍵之處使用防火牆對來源不明的有害數據進行過濾可以有效減輕 UDP 淹沒攻擊。

3. 禁用或過濾監控和響應服務。

4. 禁用或過濾其它的 UDP 服務。

5. 如果用戶必須提供一些 UDP 服務的外部訪問，那麼需要使用代理機制來保護那種服務，使它不會被濫用。

6. 對用戶的網絡進行監控以瞭解哪些系統在使用這些服務，並對濫用的跡象進行監控。

7. 判斷包大小，如果是大包攻擊則使用防止UDP碎片方法：根據攻擊包大小設定包碎片重組大小，通常不小於1500。在極端情況下，可以考慮丟棄所有UDP碎片。

8. 攻擊端口為業務端口：根據該業務UDP最大包長設置UDP最大包大小以過濾異常流量。

9. 攻擊端口為非業務端口：一個是丟棄所有UDP包，可能會誤傷正常業務;一個是建立UDP連接規則，要求所有去往該端口的UDP包，必須首先與TCP端口建立TCP連接。不過這種方法需要很專業的防火牆或其他防護設備支持，如高防服務器租用。

UDP攻擊是一種互損的攻擊方式，消耗對方資源的同時也消耗攻擊者本身的資源，現在已經很少人使用這種攻擊了。說白了這種攻擊方式僅僅就是拼資源而已，看誰的帶寬大，看誰能堅持到最後，這種攻擊方式沒有技術含量，引用別人的話，不要以為洪水無所不能，這種殺敵一萬,自損三千的攻擊沒攻擊者能耗得起。