UDP-флуд (англ. UDP flood) — сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP[1]. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть[2][3].

Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих хостов, а также обеспечить их анонимность[2][3].

Частным случаем является атака UDP Flood DNS, использующая порт 53 и загружающая сервер DNS UDP-запросами о его домене или IP-адресе несуществующего домена — объём ответов при этом значительно превышает объём запросов[4][5].

Другой распространённый случай — атака с использованием сервиса CHARGEN. Злоумышленник посылает короткие UDP-пакеты на порт 19 одного из компьютеров в сети, подменив IP-адрес и порт источника. В результате сеть на отрезке между двумя компьютерами перегружается, что может отразиться на её производительности в целом[1][5].

Для организации атак используются такие программы, как LOIC и UDP Unicorn[англ.].

Для защиты от атаки следует установить ограничение на количество обращений к открытым портам, а неиспользуемые порты закрыть средствами аппаратных или программных межсетевых экранов в ключевых точках сети[6].

Примечания

править
  1. 1 2 UDP-flood Архивная копия от 18 августа 2012 на Wayback Machine // База знаний кафедры ИКТ (МИЭМ)
  2. 1 2 UDP Flood Архивная копия от 16 декабря 2014 на Wayback Machine (англ.) // DDoS Attack Glossary (Incapsula, Inc.[англ.])
  3. 1 2 UDP Flood Архивная копия от 26 марта 2015 на Wayback Machine (англ.) // DDoSPedia (Radware Ltd.)
  4. Common DDoS Attacks Архивировано 28 декабря 2013 года. (англ.) // DDoS FAQ (NSFOCUS Information Technology Co., Ltd.)
  5. 1 2 Основные механизмы DDoS атак. Дата обращения: 25 ноября 2014. Архивировано из оригинала 2 декабря 2014 года.
  6. What is a UDP flood attack and how does one enable UDP flood protection? Архивная копия от 29 ноября 2014 на Wayback Machine (англ.) // Juniper Knowledge Center