UDP flood attack

Un atac d'inundació UDP és un atac volumètric de denegació de servei (DoS) que utilitza el protocol de datagrama d'usuari (UDP), un protocol de xarxa d'ordinadors sense sessió/sense connexió.^[1]

L'ús d'UDP per a atacs de denegació de servei no és tan senzill com amb el protocol de control de transmissió (TCP). Tanmateix, es pot iniciar un atac d'inundació UDP enviant un gran nombre de paquets UDP a ports aleatoris d'un host remot. Com a resultat, l'amfitrió distant farà:

Comproveu si l'aplicació escolta en aquest port;
Comproveu que cap aplicació escolti en aquest port;
Respon amb un paquet ICMP Destination Unreachable.

Per tant, per a un gran nombre de paquets UDP, el sistema victimitzat es veurà obligat a enviar molts paquets ICMP, fet que finalment farà que no sigui accessible per altres clients. Els atacants també poden falsificar l'adreça IP dels paquets UDP, assegurant-se que els paquets de retorn ICMP excessius no els arribin i anonimitzant les ubicacions de la seva xarxa. La majoria dels sistemes operatius mitiguen aquesta part de l'atac limitant la velocitat a la qual s'envien les respostes ICMP.^[2]

Eines d'atac d'inundació UDP:

Canó d'ions d'òrbita baixa
Unicorn UDP

Aquest atac es pot gestionar mitjançant la implementació de tallafocs en punts clau d'una xarxa per filtrar el trànsit de xarxa no desitjat. La víctima potencial no rep ni respon mai als paquets UDP maliciosos perquè el tallafoc els atura. No obstant això, com que els tallafocs tenen "estat", és a dir, només poden contenir un nombre de sessions, els tallafocs també poden ser susceptibles a atacs d'inundació.^[3]

Hi ha maneres de protegir un sistema contra atacs d'inundació UDP. Aquests són exemples d'algunes de les mesures possibles:

Limitació de velocitat ICMP: aquesta limitació es posa generalment a les respostes ICMP a nivell de sistema operatiu.
Filtratge a nivell de tallafoc al servidor: això permet rebutjar paquets sospitosos. Tanmateix, és possible que el tallafoc s'enfonsi sota la tensió d'un atac d'inundació UDP.
Filtrat de paquets UDP (excepte el DNS) a nivell de xarxa: les sol·licituds de DNS normalment es fan mitjançant UDP. Qualsevol altra font que generi grans quantitats de trànsit UDP es considera sospitosa, la qual cosa fa que els paquets en qüestió siguin rebutjats.^[4]

Referències[modifica]

↑ «UDP flood attack» (en anglès). [Consulta: 20 novembre 2023].
↑ «What Is a UDP Flood DDoS Attack?» (en anglès). [Consulta: 20 novembre 2023].
↑ «What is a UDP Flood | Mitigation & Prevention Techniques | Imperva» (en anglès americà). [Consulta: 20 novembre 2023].
↑ «Defending Against UDP Flood Attacks with Azure DDoS Protection» (en anglès). [Consulta: 20 novembre 2023].

[1] «UDP flood attack» (en anglès). [Consulta: 20 novembre 2023].

[2] «What Is a UDP Flood DDoS Attack?» (en anglès). [Consulta: 20 novembre 2023].

[3] «What is a UDP Flood | Mitigation & Prevention Techniques | Imperva» (en anglès americà). [Consulta: 20 novembre 2023].

[4] «Defending Against UDP Flood Attacks with Azure DDoS Protection» (en anglès). [Consulta: 20 novembre 2023].

[1]

[2]

[3]

[4]