分布式拒绝服务(Distributed Denial ofService，DDoS) 攻击是指在传统的拒绝服务（Denial of Service，DoS）攻击基础上产生的分布式大规模攻击方式。

　　UDP 数据风暴（UDP Storm）是DDoS攻击手段的一种。攻击者通过向被攻击主机发送大量带有无用数据的UDP 报文，使信道资源的利用率下降，从而达到拒绝服务的目的。UDP Storm 攻击的实现手法可分为直接攻击和反射攻击。在直接攻击方式下，攻击者控制僵尸主机上通过后门等非法手段安装的僵尸进程向被攻击服务器发送UDP 报文；而反射攻击则是攻击者通过伪造被攻击主机地址向大量有漏洞的主机发送某些基于UDP 服务的特殊请求报文，这些请求的回复会被放大数倍后发送到被攻击主机从而达到攻击目的。反射式DDoS攻击不需要控制僵尸进程，实现起来更方便且不容易被追踪，因此它已经成了一种最近非常活跃的DDoS 攻击手段。一些较常见的被用于反射攻击的服务有Chargen服务、NTP 服务和DNS 服务等。

　　Chargen 反射DDoS 攻击

　　Chargen 字符发生器协议（Character Generator Protocol）是一种简单网络协议，设计的目的是用来调试TCP 或UDP 协议程序、测量连接的带宽或进行QoS 的微调等。它的默认端口为19，分为基于TCP 和UDP 两种方式，TCP 方式下建立连接后，服务器会不断传送任意字符到客户端，直到客户端关闭连接。UDP 方式下每当服务器收到客户端的一个UDP数据包后向客户端返回一个数据包，长度为0~512 字节之间随机值，数据包的负载可以是任意字符。

　　Chargen 协议的设计初衷是为了网络测试，并没有严格的访问控制和流量控制机制，在UDP 模式下任何人都可以向开放该服务的主机请求服务，这种简单的请求- 回复模式便为DDoS 攻击者提供了便利。图1 给出了这个攻击的示意。图中攻击者的地址是IP A，三元组(src=0:S,dst=1:19,proto=UDP ) 表示A 伪造被攻击对象地址IP 0 和端口S，向被利用主机IP1 的19 端口发送的Chargen 请求报文，对应被利用主机放大后的回复报文流向了被攻击主机IP 0。这个漏洞早在1996年就被发现（CVE-1999-0103），该漏洞被利用最主要的原因是实现过程没有设计必要的访问控制。

图1 Chargen 反射攻击模式

　　虽然RFC 864 对Chargen 协议标准作出了说明，但不同操作系统在实现上并不一致，许多系统的UDP 回复报文超过了512 字节的字符，这种机制恰恰满足DDoS攻击对于流量放大的需求。流量放大程度在不同的操作系统上有所不同，有些可以达到几十倍。为此我们进行了简单的实验，在Linux 系统下，对于64 字节的无负载UDP Chargen 请求，系统回复一个1066 字节的UDP 应答报文，而在Windows 系统下使用同样的请求，回复的UDP 应答报文长度达3259 字节，并产生了分片，流量被放大了50 倍。