UDPReceiveSocket.send() 中 DatagramPacket 构造参数 length 错误导致截断或越界

一、现象层：UDP数据发送异常的表征与日志线索

当DatagramPacket构造时length参数失配，应用层无显式异常（截断场景），仅表现为服务端收包不全、校验失败或协议解析中断。典型日志特征包括：DNS response truncated、Invalid packet length: expected 42, got 32、Checksum mismatch on UDP payload等。Wireshark抓包可验证：发送端UDP length字段值恒等于length参数，而非缓冲区实际有效字节数。

二、机制层：JDK底层实现与内存语义剖析

查阅java.net.DatagramPacket源码（JDK 17 src/java.base/share/classes/java/net/DatagramPacket.java）可见：length被直接用于getLength()和getData()边界计算；SocketImpl.send()调用sendTo0()本地方法时，仅传递buf引用+offset+length三元组——JVM不校验length ≤ buf.length，依赖调用方保障。JDK 7+在构造器中新增显式校验（抛IllegalArgumentException），但旧版本（如JDK 6u45）存在memcpy(buf+offset, ..., length)越界读取风险，可能泄露堆内存敏感信息（如前序请求残留的token、密钥片段）。

三、场景层：高频误用模式与真实故障案例

• 缓冲区复用未重置：NIO ByteBuffer或byte[]池中，上一次put()写入48字节，下次仅put(0)但未调用limit(48)，导致array().length仍为1024，误传length=1024；
• InputStream.read()返回值忽略：执行int n = is.read(buf);后直接new DatagramPacket(buf, buf.length, ...)，而n可能为-1（EOF）、0（阻塞超时）或< buf.length（流末尾）；
• 协议头动态计算失误：DNS响应需填充EDNS0选项，开发者硬编码length = HEADER_LEN + QDCOUNT*4 + ...，但未考虑压缩指针导致的实际字节数偏差。

四、验证层：可复现的最小化测试用例

byte[] buf = new byte[64];
String payload = "HELLO\0WORLD"; // 11 bytes
buf = payload.getBytes(StandardCharsets.US_ASCII);
// ❌ 错误：length > 实际有效字节数
DatagramPacket pkt1 = new DatagramPacket(buf, 64, addr, port); // JDK7+ IllegalArgumentException

// ❌ 错误：length < 有效字节数 → 截断
DatagramPacket pkt2 = new DatagramPacket(buf, 5, addr, port); // 仅发送"HELLO"

// ✅ 正确：严格使用实际长度
DatagramPacket pkt3 = new DatagramPacket(buf, payload.length(), addr, port);

五、防御层：工程化防护体系设计

六、演进层：从防御到根治的架构升级路径

七、协议层：变长协议的特殊适配策略

对DNS、CoAP等变长协议，必须将length绑定至协议层输出结果：
• DNS：调用DNSMessage.toWire()返回byte[]后，立即用其.length构造packet；
• 自定义二进制协议：定义PacketEncoder.encode(Req req): ByteBuffer，返回bb.remaining()作为length；
• 禁止任何“预分配固定长度缓冲区+memset清零”式粗放做法——UDP无连接特性要求每包精确长度语义。

八、生态层：主流框架的实践差异与兼容性

Netty 4.1+：DatagramPacket构造自动取content.readableBytes()，规避此问题；
Spring Integration UDP Outbound：UdpOutboundGateway默认使用message.getPayload().length，但若payload为String且未指定charset，可能因平台默认编码导致长度膨胀；
Vert.x UDPClient：send(buffer, host, port)内部调用buffer.getBytes()并传入buffer.length()，安全可靠。

九、审计层：静态扫描规则与CI集成方案

在SonarQube中配置自定义规则：
• 检测模式：new DatagramPacket\(([^,]+),\s*([^,]+),.*\)
• 触发条件：2nd argument is literal number OR matches '.*\.length.*' without preceding validation
• 修复建议：插入int len = calculateActualLength(...); assert len >= 0 && len <= buf.length;
CI流水线中增加mvn verify -Psecurity-scan阶段，阻断含高危模式的PR合并。

十、认知层：从“缓冲区即数据”到“长度即契约”的范式迁移

该问题本质是开发者对Java数组抽象的误读——byte[]是内存容器，length是业务契约；UDP协议栈将length视为不可协商的传输契约，违反即破坏端到端语义完整性。资深工程师应建立“三重长度意识”：
① buf.length（物理容量）
② effectiveLength（逻辑载荷）
③ networkLength（网络层帧长，= effectiveLength + UDP header）
三者恒等是UDP可靠通信的基石，而非可选优化项。