ICMP- und UDP-Floods sind häufig, da sie einfach auszuführen sind und ein Netzwerk sehr effektiv lahmlegen können.
UDP-Flood-DDoS-Angriffe verstehen und verhindern
UDP-Flood-Angriffe sind Denial-of-Service-Angriffe (DoS), die zum Ziel haben, ein System, einen Server, eine Bandbreite oder einen Computer für legitime Nutzer und Anfragen unzugänglich zu machen. Als sessionloses Protokoll sind UDP-Floods sehr effektiv und erfordern nur wenige Ressourcen zur Ausführung. DoS- oder DDoS-Angriffe (Distributed Denial-of-Service) sind häufig Teil hochkomplexer Bedrohungen, die mehrere Angriffsvektoren kombinieren (auch als Multi-Vektor-Angriffe bezeichnet), um die IT-Umgebung eines Unternehmens anzugreifen. Im Gegensatz zu TCP DDoS-Angriffen, bei denen Cyberkriminelle TCP-SYN-Pakete nutzen, können UDP-Pakete fragmentiert werden und dabei genau so viel Schaden anrichten, wie ein normaler UDP-Flood-Angriff.
DDoS-Schutz, der Edge-Schutz kombiniert, DNS-Resilienz und Cloud-Scrubbing-Technologie dienen dazu, UDP-Floods und DDoS-Angriffe abzuwehren, bevor sie Anwendungen, Rechenzentren und Infrastrukturen erreichen können. Mit Hacker-Tools wie Low Orbit Ion Cannon (LOIC) wurden die Methoden vereinfacht, mit denen Angreifer UDP-Flood-Angriffe nutzen können.
So funktioniert UDP-Flood
Das Netzwerkprotokoll User Datagram Protocol (UDP) ermöglicht es Computeranwendungen, Nachrichten oder Datagramme über eine IP-Adresse oder ein Netzwerk an andere Hosts zu senden. Wenn ein UDP-Paket von einem Server empfangen wird, prüft das Betriebssystem, ob zugehörige Anwendungen vorhanden sind, und informiert den Absender, wenn keine gefunden werden, mit einem Antwortpaket „Ziel nicht erreichbar“. Im Gegensatz zur Verbindungs- oder Sitzungsausrichtung von TCP ist UDP ein verbindungsloses Protokoll und der Server verwendet die ICMP-Antwort (Internet Control Message Protocol), um darauf hinzuweisen, dass das ursprüngliche UDP-Paket nicht zugestellt werden kann.
Um einen UDP-Flood-Angriff zu initiieren, senden Angreifer große Mengen an UDP-Traffic mit gefälschten IP-Adressen an zufällige Ports auf einem Zielsystem. Da das System den Port, der in jedem eingehenden Paket für eine überwachende Anwendung angegeben ist, prüfen und eine Antwort ausgeben muss, können die Ressourcen des Zielservers schnell überlastet werden, sodass dieser für normalen Traffic und legitime Nutzer nicht mehr verfügbar ist. Internetverbindungen können leicht überlastet werden. Fehlerhafte UDP-Pakete mit kleinen Header-Angriffsnutzlasten erhöhen die Paketraten pro Sekunde und können dazu führen, dass die Hardware von Internet-Netzwerkkarten versagt.
Das Verhindern von UDP-Flood-Angriffen kann sich als Herausforderung erweisen. Betriebssysteme können versuchen, die Antwortrate der ICMP-Pakete, die Teil von UDP-Antworten sind, zu begrenzen. Bei diesem Ansatz wird jedoch nicht zwischen legitimem und illegitimem Traffic unterschieden und unter Umständen auch ersterer herausgefiltert. Die Abwehr von DDoS-Angriffen aller Art sollte so weit entfernt wie möglich vom Rechenzentrum oder Ursprung erfolgen, wo diese Angriffstools weniger effektiv sind. SIP- und VOIP-Internetservices basieren auf dem UDP-Stack und sind besonders anfällig für diese Art von Angriffen. UDP-Flood-Angriffe können über Botnets generiert werden, aber Angreifer nutzen offene UDP-Protokolle, die mühelos Angriffe auf Services wie Web, DNS, SSH, SCP, SSL, TLS und andere gehostete Internetressourcen reflektieren und verstärken.
Zusätzliche DDoS-Schutzlösungen
Zusammen mit Prolexic bietet Akamai zusätzliche Lösungen für den DDoS-Schutz.
App & API Protector
Der Akamai App & API Protector ist eine ganzheitliche Anwendung für den Schutz von Webanwendungen und APIs und wurde entwickelt, um ganze TCP-Web- und API-Bestände mit einem branchenführenden Fokus auf Automatisierung und Einfachheit zu schützen. Diese Lösung vereint Kerntechnologien wie API-Sicherheit, Web Application Firewall, Botabwehr und DDoS-Schutz. App & API Protector schützt vor einer Vielzahl von Bedrohungen, darunter volumetrische DDoS-Angriffe wie UDP- und ICMP-Floods, Injection- und API-basierte Angriffe, Angriffe auf Anwendungsebene wie Slowloris und protokollbasierte Bedrohungen wie zustandslose TCP-Angriffe, SYN-Floods oder ACK-Floods, bei denen legitime Nutzer einen Drei-Wege-Handshake durchführen müssen.
Prolexic-Plattform
Akamai Prolexic stoppt UDP-Flood-Angriffe jeder Größe mit einem Null-Sekunden-SLA sowie schneller und hocheffektiver Abwehr. Prolexic bietet eine cloudbasierte Angriffsabwehr über alle Ports und Protokolle hinweg. So werden Angriffe in der Cloud gestoppt, bevor sie zu geschäftsschädigenden Ereignissen werden. Prolexic leitet Netzwerk-Traffic an eines von 20 globalen Scrubbing-Centern von hoher Kapazität, um Angriffe näher an ihrem Ursprung zu stoppen und so die Performance für Nutzer zu maximieren und die Netzwerkstabilität durch die Bereitstellung über eine Cloud aufrechtzuerhalten. In jedem Scrubbing-Center verwendet das Security Operations Command Center (SOCC) von Akamai proaktive und/oder nutzerdefinierte Kontrollmechanismen zur Abwehr von Angriffen, um Angriffe sofort abzuwehren und bereinigten Traffic an den Kundenursprung zurückzuleiten.
Edge DNS
Akamai Edge DNS Ist eine cloudbasierte DNS-Lösung, die die Akamai Connected Cloud nutzt, um Zugriff auf Tausende DNS-Server an mehr als 1.000 Standorten weltweit bereitzustellen. Mit Edge DNS müssen sich Unternehmen nicht mehr nur auf zwei oder drei DNS-Server verlassen – eine gängige Praxis, die Unternehmen bisher anfällig für Rechenzentrumsausfälle und DDoS-Angriffe gemacht hat. Diese Akamai-Lösung kann selbst die umfassendsten DDoS-Angriffe abwehren und gleichzeitig auf legitime Nutzeranfragen reagieren, sodass DNS-Ausfallsicherheit und Reaktionsfähigkeit verbessert werden.
Häufig gestellte Fragen (FAQ)
Bei UDP-Flood-Angriffen handelt es sich um Denial-of-Service-Angriffe, bei denen Cyberkriminelle eine Quell-IP-Adresse vortäuschen und UDP-Pakete (User Datagram Protocol) auf einem Zielserver generieren können. Wenn der Server keine Anwendung finden kann, die den UDP-Paketen zugeordnet ist, antwortet er mit einem „Ziel nicht erreichbar“-Paket. Wenn die Anzahl der empfangenen und beantworteten UDP-Pakete für den Server zu hoch wird, wird das System überlastet und kann keine Anfragen von legitimen Clients und Nutzern bearbeiten.
Als gängiger Denial-of-Service-Angriff können UDP-Floods dazu führen, dass Server oder Anwendungen für Nutzer nicht mehr verfügbar sind. Dies kann schnell zu einem erheblichen Rückgang der Produktivität, Umsatzeinbußen, Rufschädigung und Abwanderung von Kunden führen. UDP-Flood-Angriffe gelten als besonders gefährlich, da es keine internen Schutzmechanismen gibt, die die UDP-Flood-Rate begrenzen können, sodass sie von Angreifern mit sehr begrenzten Ressourcen ausgeführt werden können.
UDP-Flood ist gefährlicher als TCP-Flood, da es sich bei UDP um ein verbindungsloses Protokoll handelt. Das bedeutet, dass vor dem Senden von Daten keine Verbindung hergestellt werden muss. UDP-Flood kann einen Server leicht mit gefälschten Paketen überlasten.
Warum entscheiden sich Kunden für Akamai?
Akamai unterstützt und schützt das digitale Leben. Führende Unternehmen weltweit setzen bei der Erstellung, Bereitstellung und beim Schutz ihrer digitalen Erlebnisse auf Akamai. So unterstützen wir täglich Milliarden von Menschen in ihrem Alltag, bei der Arbeit und in ihrer Freizeit. Akamai Connected Cloud, eine stark verteilte Edge- und Cloudplattform, bringt Anwendungen und Erlebnisse näher an die Nutzer und hält Bedrohungen fern.