防御UDP攻击：从原理到实践

摘要

UDP（User Datagram Protocol）是一种无连接的传输协议，通常用于实时传输、VoIP（Voice over IP）和在线游戏等应用。然而，UDP协议的特性也使其容易遭受攻击。本文将深入探讨UDP攻击的原理，以及如何采取有效的防御策略。

实际案例

包括UDP洪水攻击和UDP反射放大攻击。

1. UDP洪水攻击是一种常见的DDoS攻击方式，攻击者通过大量发送UDP数据包，使得目标系统资源耗尽，无法处理正常请求。例如，PhantomL0rd在多场游戏对战中遭到DERP Trolling的“追杀”：凡是PhantomL0rd参加的网络游戏，都不同程度地遭到了DERP Trolling的DDoS攻击。英雄联盟、EA官网、暴雪战网、DOTA2官网、企鹅俱乐部等等知名游戏网站都因遭到DDoS攻击而瘫痪。
2. UDP反射放大攻击则是一种更隐蔽的DDoS攻击方式，攻击者利用正常服务的UDP响应，将响应报文发送到目标，使目标系统拥塞，无法正常提供服务。例如，Memcached服务由于其“小请求、大响应”的特性，被攻击者利用进行UDP反射放大攻击。攻击者只需要向Memcached服务器的UDP端口11211发送伪造的特定请求报文，该请求报文的源地址被设置成了攻击目标的IP地址。服务器在收到该请求报文后，会将“放大”后的响应报文发送至攻击目标处，达到低成本化、高隐蔽性的攻击效果。

防御方法

方法一：限流

这种方法的基本思路是利用DDoS防护系统对UDP报文进行限流，将链路中的UDP报文控制在合理的带宽范围之内。

可以采用两种方式针对UDP Flood进行限流：

一是以某个IP地址作为统计对象，对到达这个IP地址的UDP流量进行统计并限流，超过部分丢弃；

二是以UDP会话作为统计对象，如果某条会话上的UDP报文速率达到了告警阈值，这条会话就会被锁定，后续命中这条会话的UDP报文都被丢弃。

方法二：指纹学习

一般来说，黑客为了加大攻击频率，快速、长时间挤占目标的网络带宽，在使用DDoS攻击工具实现UDP Flood时，会直接在内存中存放一段内容，然后高频发送到目标，所以攻击报文具有很高的相似性（比如都包含某一个字符串，或整个报文内容一致）；而正常业务的每个UDP报文负载内容一般都是不一样的。

所以，DDoS防护系统可以通过收集具有相同特征的字符串来检测UDP Flood攻击，这样可以有效降低误报率。 指纹学习就是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容，来判定这个UDP报文是否异常。

DDoS防护系统对到达指定目的地的UDP报文进行统计，当UDP报文达到告警阈值时，开始对UDP报文的指纹进行学习。如果相同的特征频繁出现，就会被学习成指纹，后续命中该指纹的报文将被判定为攻击报文，并作为攻击特征进行过滤。

目前，市面上绝大多数的DDoS防护系统产品均采用指纹学习的方法来防御UDP Flood攻击。