Tievolu Tievolu TievoluUn UDP Flood è uno dei tipi di attacchi DDoS più semplici e comuni, in cui il sistema target viene inondato con un gran numero di pacchetti UDP. Questi pacchetti vengono inviati a porte casuali del server target, spesso con indirizzi sorgente falsificati. Il sistema target verifica per ogni pacchetto UDP ricevuto se un'applicazione è in ascolto sulla porta corrispondente – se non è il caso, il sistema risponde con un pacchetto ICMP 'Destination Unreachable'. Questo sovraccarico può causare l'esaurimento di risorse come la larghezza di banda di rete, la CPU o la memoria, causando un'interruzione del servizio.
In un attacco UDP Flood, l'attaccante invia grandi quantità di pacchetti UDP a porte casuali o mirate sul sistema target. Poiché le connessioni UDP sono senza stato, il server deve verificare indipendentemente per ogni pacchetto se la porta è raggiungibile. Quando nessuna applicazione è in ascolto sulla porta target, il server deve rispondere con un pacchetto ICMP. Ciò aumenta notevolmente il carico sulla rete e sulle risorse del server:
Un UDP Flood è difficile da tracciare poiché si ricorre spesso allo spoofing (la falsificazione degli indirizzi sorgente). Inoltre, l'attacco può provenire da molte fonti distribuite (botnet), il che rende la difesa più difficile.
In questa forma, migliaia di dispositivi infetti (botnet) partecipano simultaneamente e inviano enormi quantità di pacchetti UDP al sistema target per sovraccaricarlo il più rapidamente possibile.
I UDP Flood vengono utilizzati anche specificamente contro determinati servizi o vulnerabilità, ad es. contro server DNS, NTP o Memcached aperti, il che amplifica ulteriormente l'impatto (attacchi di amplificazione).
Falsificando l'indirizzo sorgente, il tracciamento e la difesa mirata diventano più difficili. Inoltre, l'infrastruttura di rete della vittima viene ulteriormente caricata quando risponde alle richieste falsificate.
A differenza degli attacchi di protocollo classici come i SYN Flood, i UDP Flood non prevedono alcun controllo di connessione (nessun handshake), rendendo l'attacco particolarmente semplice ed efficiente in termini di risorse per l'attaccante, ma intensivo in risorse per la vittima.
Varie misure tecniche e organizzative aiutano contro i UDP Flood:
I firewall e i Sistemi di Prevenzione delle Intrusioni devono essere configurati per rilevare e bloccare le inondazioni UDP insolite. Aiuta anche il filtraggio mirato del traffico UDP su porte che normalmente non devono essere accessibili dall'esterno.
Limitando il numero di pacchetti UDP consentiti per unità di tempo per indirizzo IP, l'impatto di un attacco può essere notevolmente ridotto.
Monitorare il traffico di rete continuamente. I sistemi con algoritmi AI/ML aiutano a rilevare modelli insoliti (come i UDP Flood) e possono avviare automaticamente contromisure (come il blackholing o lo scrubbing).
Dove possibile, l'invio di risposte ICMP "Destination Unreachable" dovrebbe essere soppresso per evitare che il sistema consumi risorse aggiuntive rispondendo all'attacco flood.
Con la "Tievolu PYRUS DDoS Protection", gli attacchi UDP Flood vengono rilevati precocemente e con precisione sulla base di modelli di traffico tipici e anomalie statistiche. Meccanismi di filtraggio intelligenti e dinamicamente regolati analizzano il traffico UDP in entrata e in uscita in tempo reale, bloccano i pacchetti dannosi al perimetro e lasciano passare le richieste legittime senza ostacoli. Ciò mantiene stabile le prestazioni della rete anche sotto carichi di attacco elevati. Inoltre, forniamo regole finemente sintonizzate per diverse applicazioni che isolano specificamente i tentativi di connessione sospetti e consentono solo i client autorizzati.
In alternativa, i clienti possono attivare un ulteriore livello di protezione contro gli attacchi UDP Flood tramite il nostro Cloud Firewall. Nel Cloud Firewall, è possibile configurare regole di filtraggio UDP specifiche per catturare specificamente solo i pacchetti UDP. Queste regole possono anche essere combinate con vari meccanismi di limitazione della velocità per limitare il numero di richieste in entrata. Inoltre, è possibile estendere i filtri con blocchi ASN o geografici (geo-blocking) per ridurre il traffico sospetto o indesiderato in una fase iniziale.
