2022-01-07 UDP Flood

UDP协议全称“用户数据报协议”，User Datagram Protocol，是一种传输层协议。UDP协议是一种无连接的协议，不提供数据报的分组、组装，不对数据包的传输进行确认，当报文发送出去后，发送端不关心报文是否完整的到达对端。这个听起来像是缺点的特点，却是UDP协议最大的优点。这种报文处理方式决定了UDP协议资源消耗小，处理速度快，所以通常音频、视频和普通数据传送时使用UDP比较多。就比如音频或视频吧，大家在看视频或者听音乐的时候，都是追求数据传输更快一些，而在传输过程中，偶尔丢一两个数据包，对整体效果并不会产生太大的影响。

流量型 DOS攻击只要开放一个udp端口，即可针对该服务器发起攻击。

UDP Flood属于带宽类攻击，黑客们通过僵尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，通常会造成以下危害：

消耗网络带宽资源，严重时造成链路拥塞。

大量变源变端口的UDP Flood会导致依靠会话转发的网络设备，性能降低甚至会话耗尽，从而导致网络瘫痪。

防火墙对UDP Flood的防御并不能像SYN Flood一样，进行源探测，因为它不建立连接。

防火墙上针对UDP Flood的限流有三种：

 基于目的IP地址的限流：即以某个IP地址作为统计对象，对到达这个IP地址的UDP流量进行统计并限流，超过部分丢弃。

基于目的安全区域的限流：即以某个安全区域作为统计对象，对到达这个安全区域的UDP流量进行统计并限流，超过部分丢弃。

 基于会话的限流：即对每条UDP会话上的报文速率进行统计，如果会话上的UDP报文速率达到了告警阈值，这条会话就会被锁定，后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时，防火墙会解锁此会话，后续命中此会话的报文可以继续通过。

限流虽然可以有效缓解链路带宽的压力，但是这种方式简单粗暴，容易对正常业务造成误判。为了解决这个问题，防火墙又进一步推出了针对UDP Flood的指纹学习功能。 

UDP Flood攻击报文具有一定的特点，这些攻击报文通常都拥有相同的特征字段，比如都包含某一个字符串，或整个报文内容一致。这些字段来自于DDoS工具自带的默认字符串，所以防火墙是通过收集这些字符串来检测UDP Flood。

指纹学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容，来判定这个UDP报文是否异常。防火墙对到达指定目的地的UDP报文进行统计，当UDP报文达到告警阈值时，开始对UDP报文的指纹进行学习。如果相同的特征频繁出现，就会被学习成指纹，后续命中指纹的报文判定这是攻击报文，作为攻击特征进行过滤。