UDP flood

Атака UDP flood — это тип атаки на отказ в обслуживании. Подобно другим распространенным атакам типа flood, например, ping flood, HTTP flood и SYN flood, злоумышленник посылает большое количество поддельных пакетов данных в целевую систему. Цель состоит в том, чтобы перегрузить систему до такой степени, чтобы она больше не могла отвечать на законные запросы. Как только эта точка достигнута, обслуживание прекращается.

UDP flood — это объемная DoS-атака. Подобно ping flood, идея заключается в том, чтобы перегрузить целевую систему большим объемом входящих данных. Таким образом, UDP flood отличается от ping of death, который разрушает целевую систему, используя ошибку в памяти, и от SYN flood, который перегружает ресурсы сервера. Все ранее упомянутые DoS-атаки объединяет то, что их цель — перегрузить цель и тем самым лишить ее возможности законного использования.

UDP flood стал предметом общественного интереса после нескольких впечатляющих хакерских атак на международные организации. Помимо Церкви Саентологии, атакам подверглись компании, связанные со средствами массовой информации и финансовым сектором. Веб-сайты и сервисы, на которые были совершены атаки, рухнули под наплывом данных и иногда были недоступны для своих пользователей в течение нескольких часов. Во время этих атак в качестве оружия для развязывания UDP-флуда использовался мощный инструмент под названием низкоорбитальная ионная пушка (LOIC).

Атака UDP flood зависит от особенностей протоколов пользовательских датаграмм (UDP), используемых в атаке. Если на сервер поступает UDP-пакет, операционная система проверяет указанный порт на наличие прослушивающих приложений. Если приложение не найдено, сервер должен сообщить об этом отправителю. Поскольку UDP является протоколом без соединения, сервер использует протокол Internet Control Message Protocol (ICMP), чтобы сообщить отправителю, что пакет не может быть доставлен.

В случае атаки UDP flood происходит следующий процесс:

1. Злоумышленник отправляет UDP-пакеты с поддельным IP-адресом отправителя на случайные порты целевой системы.
    
2. На стороне системы для каждого входящего пакета необходимо повторить следующую процедуру.
   1. Проверьте порт, указанный в UDP-пакете, на наличие прослушивающего приложения; поскольку порт выбран случайно, это, как правило, не так.
   2. Отправить пакет ICMP «destination unreachable» предполагаемому отправителю; поскольку IP-адрес был подделан, эти пакеты обычно получает случайный прохожий.

Объемная сетевая атака может быть идентифицирована по внезапному скачку объема входящего сетевого трафика. Сетевой трафик регулярно отслеживается сетевыми провайдерами и другими специализированными сторонами. Это гарантирует, что при появлении признаков атаки можно предпринять шаги для минимизации ущерба.

Ниже перечислены некоторые меры, которые могут быть приняты для эффективной защиты от атак UDP flood:

• Ограничение скорости ICMP: Это ограничение, накладываемое на ответы ICMP, обычно выполняется на уровне операционной системы.
   
• Фильтрация на уровне брандмауэра на сервере: Это позволяет отклонять подозрительные пакеты. Однако брандмауэр также может разрушиться под воздействием атаки UDP flood.
   
• Фильтрация UDP-пакетов, за исключением DNS, на уровне сети: Запросы DNS обычно выполняются с помощью UDP. В рамках этой меры любой другой источник, генерирующий огромное количество UDP-трафика, считается подозрительным. Соответствующие пакеты отклоняются.

Для смягчения последствий неминуемых атак операторы серверов используют специализированные облачные сервисы, такие как Cloudflare. Они распределяют сетевой трафик между большим количеством глобально распределенных центров обработки данных. Это обеспечивает большую пропускную способность для создания подушки безопасности, способной выдержать удар поступающего объема данных в случае атаки. Кроме того, потоки данных фильтруются по умолчанию, чтобы остановить различные атаки