国外高防服务器上层封UDP还是防火墙封？

首先是思考题:为什么要封？UDP?

UDP Flood流量型日益猖獗DoS攻击，原理也很简单。常见的情况是大量使用UDP小包冲击DNS服务器或Radius流媒体视频服务器认证服务器。

根据微软的统计数据，一个DNS动态域名查询的上限是每秒9000个请求。我们知道，在一个P3的PC每秒可轻松构建数万个域名解析请求，足以使硬件配置极高DNS由此可见，高防服务器瘫痪DNS 服务器的脆弱性。需要注意的是，蠕虫扩散也会带来大量的域名分析要求。

很多行业内的老人都知道：UDP攻击有放大效果，即100G攻击被放大到400G@G因此，在业务允许的情况下密封UDP，那么封UDP如何密封才能有效？电信省出口上层密封必然UDP才具备无视UDP攻击效果，简单的机房防火墙密封UDP有一定的效果，但很少。

防火墙封为何说？UDP效果最小？

所以我们必须知道UDP 无需任何程序构建连接来传输数据，即无需连接协议。UDP流量包还是会去机房防火墙，而机房防火墙是基于某个IP服务器的攻击量是否超过防御决定是否密封服务器IP。比如：以59.56.111.以防火墙封为例UDP，59.56.111.111不吃UDP量，当时当UDP攻击来了，防火墙仍然承受着，当流量超过防御套餐时，防火墙将被判定为59.56.111.111黑洞，所以防火墙封UDP对防御UDP攻击效果很小。

电信上层封UDP优点就是UDP流量无法到达防火墙，缺点是海外用户无法访问，因此必须在业务允许的情况下使用。