Les attaques ICMP et UDP flood sont courantes car elles sont faciles à exécuter et s'avèrent très efficaces pour perturber un réseau.
Comprendre et prévenir les attaques DDoS UDP flood
L'attaque UDP flood est un type d'attaque par déni de service (DoS) conçu pour rendre un système, un serveur, une bande passante ou une machine indisponible pour les utilisateurs et les demandes légitimes. En tant que protocole sans session, les attaques UDP flood sont très efficaces et peu gourmandes en ressources. Les attaques DoS ou DDoS (déni de service distribué) font souvent partie de menaces très complexes combinant plusieurs vecteurs d'attaque (aussi appelées attaques multivectorielles) pour cibler l'environnement informatique d'une entreprise. Contrairement aux attaques DDoS TCP, lors desquelles les acteurs de la menace exploitent les paquets SYN TCP, les paquets UDP peuvent être fragmentés et causer autant de dégâts qu'une attaque UDP flood normale.
La protection contre les attaques DDoS combine des défenses en périphérie, la résilience DNS et une technologie de nettoyage cloud conçue pour arrêter les attaques DDoS flood et les attaques UDP flood avant qu'elles atteignent les applications, les centres de données et l'infrastructure. Des outils de piratage comme LOIC (Low Orbit Ion Cannon) ont permis de simplifier les moyens par lesquels les pirates pouvaient tirer parti de l'attaque UDP flood.
Comment fonctionne une attaque UDP flood ?
Le protocole de réseau UDP (User Datagram Protocol) permet aux applications informatiques d'envoyer des messages, ou datagrammes, à d'autres hôtes via une adresse IP ou un réseau. Lorsqu'un paquet UDP est reçu par un serveur, son système d'exploitation vérifie la présence d'applications connexes et, s'il n'en trouve aucune, informe l'expéditeur avec un paquet de réponses « Destination inaccessible ». Contrairement à l'orientation de la connexion ou de la session de TCP, l'UDP est un protocole sans connexion et le serveur utilise la réponse de l'ICMP (Internet Control Message Protocol) pour signifier que le paquet UDP original ne peut être livré.
Pour lancer une attaque UDP flood, les pirates envoient de grands volumes de trafic UDP avec des adresses IP usurpées vers des ports aléatoires sur un système ciblé. Comme le système doit vérifier le port indiqué dans chaque paquet entrant pour une application en attente et émettre une réponse, la ressource du serveur ciblé peut rapidement être épuisée et rendre ce dernier indisponible pour le trafic normal et les utilisateurs légitimes. Les connexions Internet peuvent facilement devenir congestionnées et saturées. Lorsque les paquets UDP sont défectueux et comportent des charges utiles d'attaque à en-tête de petite taille, le taux de paquets par seconde augmente, ce qui peut provoquer une défaillance du matériel des cartes réseau Internet.
La prévention des attaques UDP flood peut représenter un défi. Les systèmes d'exploitation peuvent tenter de limiter le taux de réponse des paquets ICMP qui font partie des réponses UDP, mais cette approche ne fait pas de distinction et peut également filtrer le trafic légitime. L'atténuation de tout type de DDoS doit se faire le plus loin possible du centre de données ou de l'origine, où ces outils d'attaque sont moins efficaces. Les services Internet SIP et VOIP reposent sur la pile UDP et sont particulièrement sensibles à ces types d'attaques. Les attaques UDP flood peuvent être générées par des botnets, mais les pirates exploitent les protocoles UDP ouverts qui reflètent et amplifient facilement les attaques vers des services tels que le Web, les systèmes DNS, SSH, SCP, SSL, TLS et d'autres ressources Internet hébergées.
Autres solutions de protection contre les attaques DDoS
Outre Prolexic, Akamai propose des solutions supplémentaires pour la protection contre les attaques DDoS.
App & API Protector
App & API Protector d'Akamai est une architecture holistique de protection des applications Web et des API. Elle est conçue pour défendre des domaines entiers d'applications Web et d'API TCP en mettant l'accent sur l'automatisation et la simplicité. Cette solution réunit des technologies de base telles que : sécurité des API, Web Application Firewall, atténuation des botset protection contre les attaques DDoS. App & API Protector vous protège contre un large éventail de menaces, y compris les attaques DDoS volumétriques comme les attaques UDP et ICMP flood, les attaques par injection et basées sur des API, les attaques au niveau de la couche applicative comme Slowloris, ou encore les menaces basées sur le protocole comme les attaques TCP hors état et les attaques SYN flood ou ACK flood qui obligent les utilisateurs légitimes à effectuer une liaison à trois voies.
Prolexic
Prolexic d'Akamai arrête les attaques UDP flood avec un accord de niveau de service (SLA) de zéro seconde et la défense la plus rapide et la plus efficace à l'échelle. Prolexic propose des mesures d'atténuation dans le cloud sur l'ensemble des ports et des protocoles afin de stopper les attaques dans le cloud avant qu'elles n'affectent les activités. Avec Prolexic, le trafic réseau est acheminé vers un centre de nettoyage mondial à haute capacité parmi plus d'une vingtaine. Il est en mesure de bloquer les attaques au plus près de la source afin d'optimiser les performances des utilisateurs et de préserver la résilience du réseau via la distribution dans le cloud. Dans chaque centre de nettoyage, le centre de commande des opérations de sécurité d'Akamai (SOCC) utilise des contrôles d'atténuation proactifs et/ou personnalisés pour stopper instantanément les attaques, renvoyant un trafic propre à l'origine du client.
Edge DNS
Edge DNS d'Akamai est une solution DNS basée dans le cloud qui tire parti d' Akamai Connected Cloud pour fournir un accès à des milliers de serveurs DNS dans plus de 1 000 points de présence à travers le monde. Avec Edge DNS, les entreprises ne doivent plus se contenter de deux ou trois serveurs DNS, une pratique courante qui rend les entreprises vulnérables aux pannes de centre de données et aux attaques DDoS. Cette solution d'Akamai est capable d'absorber les plus grandes attaques DDoS tout en continuant à répondre aux demandes légitimes des utilisateurs, améliorant ainsi la résilience et la réactivité du DNS.
Foire aux questions (FAQ)
Une attaque UDP flood est un type d'attaque par déni de service où des acteurs malveillants peuvent usurper une adresse IP source et générer des paquets UDP (User Datagram Protocol) vers un serveur ciblé. Lorsque le serveur ne trouve pas d'application associée aux paquets UDP, il répond par un paquet « Destination inaccessible ». Lorsque le nombre de paquets UDP reçus et traités devient trop lourd pour le serveur, le système est submergé et ne peut plus répondre aux demandes des clients et utilisateurs légitimes.
En tant qu'attaque par déni de service courante, une attaque UDP flood peut facilement rendre un serveur ou une application indisponible pour les utilisateurs. Cette situation peut rapidement entraîner une baisse importante de la productivité, une perte de revenus, des dégâts à la réputation et l'attrition de clients. Les attaques UDP flood sont considérées comme particulièrement dangereuses car il n'existe pas de protections internes permettant de limiter le débit d'un UDP flood et elles peuvent donc être exécutées par des pirates disposant de très peu de ressources.
Une attaque UDP flood est plus dangereuse qu'une attaque TCP car UDP est un protocole sans connexion. Cela signifie qu'il n'est pas nécessaire d'établir une connexion avant d'envoyer des données. Une attaque UDP flood peut facilement submerger un serveur avec des paquets usurpés.
Pourquoi les clients choisissent-ils Akamai ?
Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.