UDP报文

对应wireshark：

源端口（ source port ），发送方的端口号；目的端口（ destination port ），接收方的端口号；报文长度（ length ），即整个 UDP 报文的长度，包括头部和数据，单位为 字节 。检验和（ checksum ）；UDP和TCP的区别TCP 是面向连接的传输控制协议，而UDP 提供了无连接的数据报服务；TCP 具有高可靠性，确保传输数据的正确性，不出现丢失或乱序；UDP 在传输数据前不建立连接，不对数据报进行检查与修改，无须等待对方的应答，所以会出现分组丢失、重复、乱序，应用程序需要负责传输可靠性方面的所有工作；UDP 具有较好的实时性，工作效率较 TCP 协议高；UDP 首部结构比 TCP 的首部结构简单，因此网络开销也小。

UDP反射放大攻击原理

由于UDP协议是面向无连接的，所以客户端发送请求包的源IP地址很容易被篡改。所以如果把请求包的源IP地址篡改为攻击目标的IP地址，最终服务器返回的响应包就会被送到攻击目标，这就是“反射”攻击。

网络中开放的服务器非常多，如果黑客利用僵尸主机，同时向服务器发起大量的请求，1个请求包可以引发100个响应包。举例通常，1个NTP请求包只有90字节的大小，而1个回应报文通常为482字节，100个回应报文就是48200字节，回应报文是请求报文的500倍左右，这样就可以达到四两拨千斤的“放大”效果。

常见UDP反射类型

除了常见的DNS，NTP等UDP反射放大攻击类型，目前还有其他十多种UDP协议，均可以用于反射放大攻击，如：SSDP、QOTD、SNMP、CHARGEN、LDAP、MEMCACHE、WS-DISCOVERY 等。放大倍数从几倍到几万倍，其中部分协议今天仍然非常流行。

常用UDP防护手段

UDP反射放大攻击有两个特点：

一是属于UDP协议，二是目的端口号固定。

所以我们在防御UDP反射放大攻击的时候，就从这两个特征入手，将已知的攻击特征，直接配置到过滤器的参数中。配置了静态指纹过滤后，对收到的报文进行特征匹配，对匹配到攻击特征的报文，再进行丢弃、限流等下一步操作。

语录分享

天将降大任于是人也，必先苦其心志，劳其筋骨，饿其体肤，空乏其身，行拂乱其所为，所以动心忍性，曾益其所不能。

—— 战国·孟子·《生于忧患，死于安乐》