本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # UDP反射攻擊 UDP反射攻擊利用無狀態協議的事實。UDP攻擊者可以製作一個有效的UDP請求數據包,列出攻擊目標的 IP 地址作為UDP源 IP 地址。攻擊者現在偽造了要求封包的來源 IP (多工緩衝UDP處理)。UDP封包包含偽造的來源 IP,並由攻擊者傳送至中繼伺服器。伺服器遭誘騙,將其回UDP應封包傳送至目標受害者 IP,而非傳回攻擊者的 IP 位址。使用中繼伺服器的原因是因為它會產生比要求封包大數倍的回應,有效地放大傳送至目標 IP 位址的攻擊流量。 放大因子是回應大小與要求大小的比率,而且視攻擊者使用的通訊協定而有所不同:DNS、網路時間通訊協定 (NTP)、簡易服務目錄通訊協定 (SSDP)、無連線輕量型目錄存取通訊協定 (CLDAP)、[Memcached](https://memcached.org/)、字元產生器通訊協定 (CharGen) 或每日報價 ()。QOTD 例如,的放大係數DNS可以是原始位元組數的 28 到 54 倍。因此,如果攻擊者向DNS服務器發送 64 字節的請求有效負載,則可以向攻擊目標生成超過 3400 字節的不需要流量。UDP與其他攻擊相比,反射攻擊對更大的流量負責。下圖說明了反射策略和放大效果。 ![\[描繪UDP反射攻擊的圖表\]](http://docs.aws.amazon.com/zh_tw/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png) 應該注意的是,反射攻擊雖然它們為攻擊者提供「免費」放大,但它們需要 IP 欺騙能力,並且隨著越來越多的網絡提供商採用源代碼地址驗證到處(SAVE)[BCP38](https://www.ietf.org/rfc/bcp/bcp38.html),或者刪除了該功能,要求DDoS服務提供商停止反射攻擊或重新定位到數據中心和網絡提供商沒有實施源地址驗證。