Tievolu Tievolu TievoluUn UDP Flood est l'un des types d'attaques DDoS les plus simples et les plus courants, dans lequel le système cible est inondé d'un grand nombre de paquets UDP. Ces paquets sont envoyés à des ports aléatoires du serveur cible, souvent avec des adresses source falsifiées. Le système cible vérifie pour chaque paquet UDP reçu si une application est à l'écoute sur le port correspondant – si ce n'est pas le cas, le système répond avec un paquet ICMP 'Destination Unreachable'. Cette surcharge peut entraîner l'épuisement de ressources telles que la bande passante réseau, le CPU ou la mémoire, provoquant une interruption de service.
Dans une attaque UDP Flood, l'attaquant envoie de grandes quantités de paquets UDP à des ports aléatoires ou ciblés sur le système cible. Comme les connexions UDP sont sans état, le serveur doit vérifier indépendamment pour chaque paquet si le port est accessible. Lorsqu'aucune application n'écoute sur le port cible, le serveur doit répondre avec un paquet ICMP. Cela augmente considérablement la charge sur le réseau et les ressources du serveur :
Un UDP Flood est difficile à tracer car on a souvent recours au spoofing (la falsification des adresses source). De plus, l'attaque peut provenir de nombreuses sources distribuées (botnets), ce qui rend la défense plus difficile.
Dans cette forme, des milliers d'appareils infectés (botnets) participent simultanément et envoient d'énormes quantités de paquets UDP au système cible afin de le surcharger aussi rapidement que possible.
Les UDP Floods sont également utilisés spécifiquement contre certains services ou vulnérabilités, par ex. contre des serveurs DNS, NTP ou Memcached ouverts, ce qui amplifie encore l'impact (attaques par amplification).
En usurpant l'adresse source, le traçage et la défense ciblée deviennent plus difficiles. De plus, l'infrastructure réseau de la victime est davantage sollicitée lorsqu'elle répond aux requêtes falsifiées.
Contrairement aux attaques de protocole classiques comme les SYN Floods, les UDP Floods n'impliquent aucun contrôle de connexion (pas de handshake), ce qui rend l'attaque particulièrement simple et économe en ressources pour l'attaquant, mais gourmande en ressources pour la victime.
Diverses mesures techniques et organisationnelles aident contre les UDP Floods :
Les pare-feux et les systèmes de prévention des intrusions doivent être configurés pour détecter et bloquer les inondations UDP inhabituelles. Le filtrage ciblé du trafic UDP sur des ports qui ne doivent normalement pas être accessibles de l'extérieur aide également.
En limitant le nombre de paquets UDP autorisés par unité de temps par adresse IP, l'impact d'une attaque peut être fortement réduit.
Surveillez le trafic réseau en continu. Les systèmes avec des algorithmes IA/ML aident à détecter les modèles inhabituels (comme les UDP Floods) et peuvent automatiquement initier des contre-mesures (comme le blackholing ou le scrubbing).
Dans la mesure du possible, l'envoi de réponses ICMP "Destination Unreachable" devrait être supprimé pour éviter que le système ne consomme des ressources supplémentaires en répondant à l'attaque par inondation.
Avec la « Tievolu PYRUS DDoS Protection », les attaques UDP Flood sont détectées tôt et précisément sur la base de modèles de trafic typiques et d'anomalies statistiques. Des mécanismes de filtrage intelligents et dynamiquement ajustés analysent le trafic UDP entrant et sortant en temps réel, bloquent les paquets malveillants en périphérie et laissent passer les requêtes légitimes sans entrave. Votre performance réseau reste ainsi stable même sous une charge d'attaque élevée. De plus, nous fournissons des règles finement réglées pour diverses applications qui isolent spécifiquement les tentatives de connexion suspectes et n'autorisent que les clients légitimes.
Alternativement, les clients peuvent activer une couche de protection supplémentaire contre les attaques UDP Flood via notre Cloud Firewall. Dans le Cloud Firewall, des règles de filtrage UDP spécifiques peuvent être configurées pour capturer uniquement les paquets UDP. Ces règles peuvent également être combinées avec divers mécanismes de limitation de débit pour limiter le nombre de requêtes entrantes. De plus, il est possible d'étendre les filtres avec des blocages ASN ou géographiques (géo-blocage) pour réduire le trafic suspect ou indésirable dès un stade précoce.
