UDP攻擊是DDoS攻擊的一種，是典型的流量型攻擊。就如同城市堵車一樣，當(dāng)數(shù)據(jù)包超過(guò)帶寬上限，就會(huì)出現(xiàn)網(wǎng)絡(luò)擁堵、響應(yīng)緩慢的情況。流量型 DDoS攻擊就是如此，發(fā)送海量數(shù)據(jù)包，頃刻占滿目標(biāo)系統(tǒng)的全部帶寬，正常請(qǐng)求被堵在門外，拒絕服務(wù)的目的達(dá)成。

　　UDP協(xié)議是一種無(wú)連接的服務(wù)，在UDP Flood 中，攻擊者通常發(fā)送大量偽造源IP地址的小UDP包沖擊DNS服務(wù)器或Radius認(rèn)證服務(wù)器、流媒體視頻服務(wù)器。100k bps的UDP Flood經(jīng)常將線路上的骨干設(shè)備例如防火墻打癱，造成整個(gè)網(wǎng)段的癱瘓。

　　但是這種傳統(tǒng)的流量型攻擊方式技術(shù)含量較低，破壞別人的網(wǎng)絡(luò)環(huán)境同時(shí)自己內(nèi)部的網(wǎng)絡(luò)也受到損害，攻擊效果通常依賴受控主機(jī)本身的網(wǎng)絡(luò)性能，而且容易被查到攻擊源頭。

　　有哪些好的解決辦法?

　　1. 增加帶寬硬抗

　　網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力，國(guó)內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M，知名企業(yè)帶寬能超過(guò)1G，超過(guò)100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站，數(shù)量屈指可數(shù)。但DDoS卻不同，攻擊者通過(guò)控制一些服務(wù)器、個(gè)人電腦等成為肉雞，如果控制1000臺(tái)機(jī)器，每臺(tái)帶寬為10M，那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊，帶寬瞬間就被占滿了。

　　2. 使用硬件防火墻

　　許多人會(huì)考慮使用硬件防火墻，針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過(guò)對(duì)異常流量的清洗過(guò)濾，可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果網(wǎng)站飽受流量攻擊的困擾，可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防，但攻擊流量有300G)，洪水瞞過(guò)高墻同樣抵擋不住。

　　3. 選用高性能設(shè)備

　　除了防火墻，服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上，若是設(shè)備性能成為瓶頸，即使帶寬充足也無(wú)能為力。在有網(wǎng)絡(luò)帶寬保證的前提下，應(yīng)該盡量提升硬件配置。

　　4.使用高防服務(wù)器

        使用滴盾高防服務(wù)器解決，我們青島部署的T3級(jí)別BGP數(shù)據(jù)中心，擁有有DDoS/CC清洗算法，可有效幫助網(wǎng)站防御SYN Flood、UDP Flood、ICMP Flood、TCP Flood、Connections Flood、Proxy Flood、CC等常見的洪水攻擊。從而徹底解決了中小型網(wǎng)站在面對(duì)DDoS攻擊時(shí)預(yù)算不足的尷尬，也為所有防護(hù)網(wǎng)站的穩(wěn)定運(yùn)行提供保障。