ru UDP-%D1%84%D0%BB%D1%83%D0%B4

UDP-флуд (англ. UDP flood) — сетевая атака типа «отказ в обслуживании», использующая бессеансовый режим протокола UDP^[1]. Заключается в отправке множества UDP-пакетов (как правило, большого объёма) на определённые или случайные номера портов удалённого хоста, который для каждого полученного пакета должен определить соответствующее приложение, убедиться в отсутствии его активности и отправить ответное ICMP-сообщение «адресат недоступен». В итоге атакуемая система окажется перегруженной: в протоколе UDP механизм предотвращения перегрузок отсутствует, поэтому после начала атаки паразитный трафик быстро захватит всю доступную полосу пропускания, и полезному трафику останется лишь малая её часть^[2]^[3].

Подменив IP-адреса источников в UDP-пакетах, злоумышленник может перенаправить поток ICMP-ответов и тем самым сохранить работоспособность атакующих хостов, а также обеспечить их анонимность^[2]^[3].

Частным случаем является атака UDP Flood DNS, использующая порт 53 и загружающая сервер DNS UDP-запросами о его домене или IP-адресе несуществующего домена — объём ответов при этом значительно превышает объём запросов^[4]^[5].

Другой распространённый случай — атака с использованием сервиса CHARGEN. Злоумышленник посылает короткие UDP-пакеты на порт 19 одного из компьютеров в сети, подменив IP-адрес и порт источника. В результате сеть на отрезке между двумя компьютерами перегружается, что может отразиться на её производительности в целом^[1]^[5].

Для организации атак используются такие программы, как LOIC и UDP Unicorn^[англ.].

Для защиты от атаки следует установить ограничение на количество обращений к открытым портам, а неиспользуемые порты закрыть средствами аппаратных или программных межсетевых экранов в ключевых точках сети^[6].

Примечания

↑ ¹ ² UDP-flood Архивная копия от 18 августа 2012 на Wayback Machine // База знаний кафедры ИКТ (МИЭМ)
↑ ¹ ² UDP Flood Архивная копия от 16 декабря 2014 на Wayback Machine (англ.) // DDoS Attack Glossary (Incapsula, Inc.^[англ.])
↑ ¹ ² UDP Flood Архивная копия от 26 марта 2015 на Wayback Machine (англ.) // DDoSPedia (Radware Ltd.)
↑ Common DDoS Attacks Архивировано 28 декабря 2013 года. (англ.) // DDoS FAQ (NSFOCUS Information Technology Co., Ltd.)
↑ ¹ ² Основные механизмы DDoS атак (неопр.). Дата обращения: 25 ноября 2014. Архивировано из оригинала 2 декабря 2014 года.
↑ What is a UDP flood attack and how does one enable UDP flood protection? Архивная копия от 29 ноября 2014 на Wayback Machine (англ.) // Juniper Knowledge Center

[ikt-1] ¹ ² UDP-flood Архивная копия от 18 августа 2012 на Wayback Machine // База знаний кафедры ИКТ (МИЭМ)

[incapsula-2] ¹ ² UDP Flood Архивная копия от 16 декабря 2014 на Wayback Machine (англ.) // DDoS Attack Glossary (Incapsula, Inc.^[англ.])

[radware-3] ¹ ² UDP Flood Архивная копия от 26 марта 2015 на Wayback Machine (англ.) // DDoSPedia (Radware Ltd.)

[nsfocus-4] Common DDoS Attacks Архивировано 28 декабря 2013 года. (англ.) // DDoS FAQ (NSFOCUS Information Technology Co., Ltd.)

[themarat-5] ¹ ² Основные механизмы DDoS атак (неопр.). Дата обращения: 25 ноября 2014. Архивировано из оригинала 2 декабря 2014 года.

[juniper-6] What is a UDP flood attack and how does one enable UDP flood protection? Архивная копия от 29 ноября 2014 на Wayback Machine (англ.) // Juniper Knowledge Center

[1]

[2]

[3]

[4]

[5]

[6]