UDP Flood是互联网上最经典的DDoS（Distributed Denial of Service）攻击之一。攻击者在短时间内向目标设备发送大量的UDP报文，导致链路拥塞甚至网络瘫痪。一般的UDP报文由攻击工具伪造，通常在数据段具备相同的特征，另一部分由真实网络设备发出的UDP报文，虽然数据段不相同，但固定的目的端口也可作为一种特征。

由于UDP协议是一种无连接的服务，在UDP FLOOD攻击中，攻击者可发送大量伪造源IP地址的小UDP包。但是，由于UDP协议是无连接性的，所以只要开了一个UDP的端口提供相关服务的话，那么就可针对相关的服务进行攻击。

UDP Flood是如何发起攻击的？

UDP Flood攻击是通过利用大量的UDP数据包冲击目标系统，从而消耗目标系统的网络带宽和资源，导致服务降级或中断的攻击方式。攻击者通常会使用僵尸网络来发送大量的UDP数据包，这些数据包通常为大包，且速率非常快。

近几年来，越来越多的攻击者选择使用UDP反射放大攻击。UDP反射放大攻击有两个特点，一是属于UDP协议，二是目的端口号固定。UDP反射放大攻击的原理类似，以常见的NTP（Network Time Protocol）反射放大攻击为例，其有两个关键点：反射和放大。

UDP反射攻击：
UDP反射攻击(UDP Reflection Attack)是一种针对网络层的DDoS(分布式拒绝服务)攻击方法，这种攻击的基本原理是，攻击者通过向目标主机发送大量的UDP数据包，并在源IP地址中使用反射技术，使得这些数据包被发送回源主机，由于目标主机没有对这些数据包进行任何处理，因此会消耗大量的资源，从而导致服务降级或中断。

UDP放大攻击：
攻击者通常利用互联网的基础架构来进行放大攻击。由于网络中开放的NTP服务器非常多，攻击者会利用僵尸主机同时向NTP服务器发起大量的Monlist请求，1个Monlist请求包可以引发100个响应包。通常1个NTP请求包只有90字节的大小，而1个回应报文通常为482字节，100个回应报文就是48200字节，可以发现回应报文是请求报文的500倍左右，这就形成了四两拨千斤的放大攻击，最终造成链路拥塞甚至网络瘫痪。

常见的防御方法：

1.限流
可以采用两种方式针对UDP Flood进行限流：一是以某个IP地址作为统计对象，对到达这个IP地址的UDP流量进行统计并限流，超过部分丢弃；二是以UDP会话作为统计对象，如果某条会话上的UDP报文速率达到了告警阈值，这条会话就会被锁定，后续命中这条会话的UDP报文都被丢弃。

2.指纹学习
指纹学习就是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容，来判定这个UDP报文是否异常。如图所示，DDoS防护系统对到达指定目的地的UDP报文进行统计，当UDP报文达到告警阈值时，开始对UDP报文的指纹进行学习。如果相同的特征频繁出现，就会被学习成指纹，后续命中该指纹的报文将被判定为攻击报文，并作为攻击特征进行过滤。目前，市面上绝大多数的DDoS防护系统产品均采用指纹学习的方法来防御UDP Flood攻击。

两种方式各有利弊。限流方式属于暴力型，可以很快将UDP流量限制在一个合理的范围内，但是不分青红皂白，超过就丢，可能会丢弃一些正常报文；而指纹学习属于理智型，不会随意丢弃报文，但是发生攻击后需要有个指纹学习的过程。目前，指纹学习功能是针对UDP Flood攻击的主流防御手段，在各大防火墙产品中广泛应用。