Phần header của gói UDP chứa 4 trƣờng dữ liệu:
- Source port (16 bit): Trƣờng này xác định cổng của ngƣời gửi thông tin và có ý nghĩa nếu muốn nhận thông tin phản hồi từ ngƣời nhận. Nếu không dùng đến thì đặt nó bằng 0.
- Destination port (16 bit): Trƣờng này xác định cổng nhận thông tin.
- Length(16 bit): Trƣờng này xác định độ dài của toàn bộ gói tin UDP, bao gồm phần header và phần dữ liệu. Chiều dài tối thiểu là 8 bytr khi gói tin không có dữ liệu, chỉ có header.
- Checksum (16 bit): Trƣờng checksum dùng cho việc kiểm tra lỗi của phần header và dữ liệu.
Do thiếu tính tin cậy, các ứng dụng sử dụng UDP nói chung phải chấp nhận mất mát, lỗi hoặc trùng dữ liệu.
(3) Tìm số hiệu cổng trong UDP: UDP dùng cổng để cho phép các ứng dụng giao tiếp với nhau:
- Cổng dùng 16 bit để đánh địa chỉ, vì vậy số của cổng nằm trong khoảng từ 0 đến 65535.
- Cổng 0 đƣợc để dành và không nên sử dụng.
- Cổng từ 1 đến 1023 đƣợc gọi là cổng “well-know” và trên các hệ điều hành tựa Unix, việc gắn kết tới một trong những cổng này đòi hỏi quyển root (toàn quyền truy cập).
- Cổng từ 1024 đến 49151 là cổng đã đăng ký.
- Cổng từ 49152 đến 65535 là các cổng tạm, đƣợc dùng chủ yếu bởi client khi liên lạc với server.
Khái niệm UDP Flood attack:
Tấn công tràn UDP là một kỹ thuật tấn công từ chối dịch vụ sử dụng các gói tin UDP. Trong tấn công tràn UDP, các cuộc tấn công tràn ngập đƣợc khởi chạy với việc
gửi một số lƣợng lớn các gói UDP đến các port ngẫu nhiên hoặc đƣợc chỉ định trên hệ thống của nạn nhân. Để xác định ứng dụng đƣợc yêu cầu, hệ thống nạn nhân phải xử lý dữ liệu vào. Trong trƣờng hợp thiếu ứng dụng trên port đƣợc yêu cầu, hệ thống nạn nhân sẽ gửi thông điệp ICMP với nội dung “Đích không thể đến đƣợc” cho ngƣời gửi (ở đây là kẻ tấn công). Với số lƣợng lớn các gói UDP, hệ thống nạn nhân sẽ bị ép buộc phải gửi các gói ICMP, cuối cùng dẫn đến không thể nhận yêu cầu từ các ngƣời dùng hợp lệ do bão hòa về băng thông. Nếu các gói UDP đƣợc kẻ tấn công phân phối đến tất cả các port của hệ thống, hệ thống đó sẽ bị treo ngay lập tức.