Tievolu Tievolu TievoluEen UDP Flood is een van de eenvoudigste en meest voorkomende soorten DDoS-aanvallen, waarbij het doelsysteem wordt overspoeld met een groot aantal UDP-pakketten. Deze pakketten worden verstuurd naar willekeurige poorten van de doelserver, vaak met vervalste bronadressen. Het doelsysteem controleert voor elk ontvangen UDP-pakket of een applicatie luistert op de betreffende poort – is dit niet het geval, dan reageert het systeem met een ICMP 'Destination Unreachable'-pakket. Deze overbelasting kan ertoe leiden dat resources zoals netwerkbandbreedte, CPU of geheugen uitgeput raken en de service uitvalt.
Bij een UDP Flood-aanval stuurt de aanvaller grote hoeveelheden UDP-pakketten naar willekeurige of gerichte poorten op het doelsysteem. Omdat UDP-verbindingen stateless zijn, moet de server voor elk pakket onafhankelijk controleren of de poort bereikbaar is. Wanneer geen applicatie luistert op de doelpoort, moet de server reageren met een ICMP-pakket. Dit verhoogt de belasting op het netwerk en de serverresources aanzienlijk:
Een UDP Flood is moeilijk te traceren omdat vaak gebruik wordt gemaakt van spoofing (het vervalsen van bronadressen). Bovendien kan de aanval afkomstig zijn van vele gedistribueerde bronnen (botnets), wat de verdediging bemoeilijkt.
In deze vorm nemen duizenden geïnfecteerde apparaten (botnets) gelijktijdig deel en sturen zij enorme hoeveelheden UDP-pakketten naar het doelsysteem om het zo snel mogelijk te overbelasten.
UDP Floods worden ook specifiek ingezet tegen bepaalde diensten of kwetsbaarheden, bijv. tegen open DNS-, NTP- of Memcached-servers, wat de impact verder versterkt (amplificatie-aanvallen).
Door het bronadres te spoofen worden tracering en gerichte verdediging moeilijker. Bovendien wordt de netwerkinfrastructuur van het slachtoffer verder belast wanneer deze reageert op de nep-verzoeken.
In tegenstelling tot klassieke protocolaanvallen zoals SYN Floods, behelzen UDP Floods geen verbindingscontrole (geen handshake), waardoor de aanval bijzonder eenvoudig en resourcebesparend is voor de aanvaller, maar resource-intensief voor het slachtoffer.
Verschillende technische en organisatorische maatregelen helpen tegen UDP Floods:
Firewalls en Intrusion Prevention Systems moeten zo worden geconfigureerd dat ongewone UDP-floods worden gedetecteerd en geblokkeerd. Gerichte filtering van UDP-verkeer op poorten die normaal niet van buitenaf toegankelijk hoeven te zijn, helpt ook.
Door het aantal toegestane UDP-pakketten per tijdseenheid per IP-adres te beperken, kan de impact van een aanval sterk worden verminderd.
Bewaak het netwerkverkeer continu. Systemen met AI/ML-algoritmen helpen bij het detecteren van ongewone patronen (zoals UDP Floods) en kunnen automatisch tegenmaatregelen initiëren (zoals blackholing of scrubbing).
Waar mogelijk moet het verzenden van ICMP "Destination Unreachable"-antwoorden worden onderdrukt om te voorkomen dat het eigen systeem extra resources verbruikt door te antwoorden op de flood-aanval.
Met de "Tievolu PYRUS DDoS Protection" worden UDP Flood-aanvallen vroegtijdig en nauwkeurig gedetecteerd op basis van typische verkeerspatronen en statistische anomalieën. Intelligente, dynamisch aangepaste filtermechanismen analyseren inkomend en uitgaand UDP-verkeer in realtime, blokkeren schadelijke pakketten al aan de periferie en laten legitieme verzoeken ongehinderd passeren. Zo blijft uw netwerkprestatie stabiel ook onder verhoogde aanvalsbelasting. Daarnaast bieden we voor verschillende applicaties fijn afgestemde regels die verdachte verbindingspogingen specifiek isoleren en alleen geautoriseerde clients toelaten.
Klanten kunnen via onze Cloud Firewall ook een extra beschermingslaag activeren tegen UDP Flood-aanvallen. In de Cloud Firewall kunnen specifieke UDP-filterregels worden geconfigureerd die specifiek alleen UDP-pakketten vastleggen. Deze regels kunnen ook worden gecombineerd met diverse rate-limiting-mechanismen om het aantal inkomende verzoeken te beperken. Bovendien is het mogelijk filters uit te breiden met ASN- of geografische blokkades (geo-blocking) om verdacht of ongewenst verkeer in een vroeg stadium te verminderen.
