udp洪水攻擊

udp洪水是一種拒絕服務攻擊，它利用含有udp數據報的ip數據包對目標主機上的隨機端口進行飽和攻擊。

用戶數據報協議（udp）是一種無鏈接、無對話的網絡協議。因爲udp流量不須要像tcp那樣三次握手，能夠低成本的運行。這種特質也使得udp很是脆弱，更容易被濫用，一些udp洪水攻擊可以利用dns方法攻擊的形式實施，udp並不會定義具體的數據包格式，所以攻擊者攻擊者可建立較大的數據包，將其充滿垃圾和數字，並將它們發往遭受攻擊的主機。須要注意的是，放大和未放大的udp洪水可能源自各類規模的僵屍網絡羣。使用多臺機器將這種攻擊劃分爲分佈式拒絕服務(ddos)威脅。憑藉這些攻擊，攻擊者的目標是攻破防火牆和其餘更具備彈性的網絡基礎實施組件。

緩解方法：在最基本的層面上，多數操做系統試圖經過限制ICMP的響應速率來緩解udp洪水攻擊。然而，這種不加選擇的過濾對合法流量也會產生影響。傳統上，udp緩解方法也依靠那些可以過濾或阻止惡意udp數據包的防火牆。此類方法的效果愈來愈差，如今的高流量攻擊能夠很輕鬆地攻破那些沒有預設預留空間的防火牆。

Incapsula的ddos防禦充分利用Anycast技術，在其全局分佈的高容量清洗服務器之間平衡應對這些攻擊負載，在這些清洗服務器上對攻擊進行深度包檢測。

利用專有的專門設計用於內部流量處理的清洗軟件，並基於Ip信譽異常屬性和可疑行爲等因素，Incapsula可識別並過濾惡意ddos數據包。