Gli attacchi ICMP e UDP flood sono comuni perché sono facili da eseguire e possono risultare molto efficaci per causare un'interruzione della rete.
Descrizione e prevenzione degli attacchi UDP flood di tipo DDoS
Un attacco UDP flood è un tipo di attacco DoS (Denial-of-Service) progettato per rendere un sistema, un server, una larghezza di banda o un computer non disponibile per utenti e richieste legittimi. Utilizzando un protocollo senza sessione, gli attacchi UDP flood sono altamente efficaci e richiedono poche risorse per essere eseguiti. Gli attacchi DoS o DDoS (Distributed Denial-of-Service) fanno spesso parte di minacce altamente complesse che combinano più vettori di attacco (noti anche come multivettore) per prendere di mira l'ambiente IT di un'organizzazione. A differenza degli attacchi DDoS TCP, in cui i criminali sfruttano i pacchetti TCP SYN, i pacchetti UDP possono essere frammentati e causare danni pari a quelli di un normale attacco UDP flood.
Protezione DoS, che combina sistemi di difesa perimetrali, resilienza DNS e tecnologia di cloud scrubbing progettata per bloccare gli UDP flood e gli attacchi DDoS prima che possano raggiungere applicazioni, data center e infrastruttura. Strumenti per hacker come LOIC (Low Orbit Ion Cannon) hanno iniziato a semplificare i mezzi con cui i criminali potevano sfruttare l'attacco UDP flood.
Come funziona un attacco UDP flood
Il protocollo di rete UDP (User Datagram Protocol) consente alle applicazioni del computer di inviare messaggi, o datagrammi, ad altri host tramite un indirizzo IP o una rete. Quando un pacchetto UDP viene ricevuto da un server, il suo sistema operativo controlla le applicazioni correlate e, se non ne trova nessuna, informa il mittente con un pacchetto di risposta "destinazione irraggiungibile". A differenza della connessione TCP o dell'orientamento alla sessione, UDP è un protocollo senza connessione e il server utilizza la risposta ICMP (Internet Control Message Protocol) per notificare che il pacchetto UDP originale non può essere recapitato.
Per avviare un attacco UDP flood, i criminali inviano ingenti quantità di traffico UDP con indirizzi IP contraffatti a porte casuali su un sistema preso di mira. Poiché il sistema deve controllare la porta specificata in ciascun pacchetto in entrata per un'applicazione in ascolto ed emettere una risposta, la risorsa del server preso di mira può esaurirsi rapidamente, rendendolo non disponibile al traffico normale e agli utenti legittimi. Può verificarsi facilmente una congestione e una saturazione delle connessioni Internet. Se i pacchetti UDP sono in un formato errato con piccoli payload di attacco di intestazione, ciò aumenta le velocità dei pacchetti al secondo e può causare il malfunzionamento dell'hardware sulle schede di rete Internet.
La prevenzione degli attacchi UDP flood può essere una sfida. I sistemi operativi possono tentare di limitare la velocità di risposta dei pacchetti ICMP che fanno parte delle risposte UDP. Tuttavia, questo approccio è indiscriminato e può filtrare anche il traffico legittimo. La mitigazione di qualsiasi tipo di attacco DDoS dovrebbe essere effettuata il più lontano possibile dal data center o dall'origine, dove questi strumenti di attacco sono meno efficaci. I servizi Internet SIP e VOIP si basano sullo stack UDP e sono particolarmente soggetti a questi tipi di attacchi. Gli attacchi UDP flood possono essere generati da botnet, ma gli autori di attacchi sfruttano protocolli UDP aperti che riflettono e amplificano facilmente gli attacchi verso servizi come web, DNS, SSH, SCP, SSL, TLS e altre risorse Internet ospitate.
Soluzioni aggiuntive per la protezione dagli attacchi DDoS
Insieme a Prolexic, Akamai offre soluzioni aggiuntive per la protezione dagli attacchi DDoS.
App & API Protector
Akamai App & API Protector è un'applicazione web olistica e un'architettura di protezione delle API ed è progettata per difendere intere proprietà web e API TCP con un'attenzione leader del settore su automazione e semplicità. Questa soluzione combina tecnologie di base tra cui sicurezza delle API, WAF (Web Application Firewall), mitigazione dei bote protezione dagli attacchi DDoS. App & API Protector difende da un'ampia gamma di minacce, inclusi attacchi DDoS volumetrici come UDP flood e ICMP flood, attacchi injection e basati su API, attacchi a livello di applicazione come Slowloris e minacce basate su protocollo come attacchi TCP out-of-state, SYN flood o ACK flood che richiedono agli utenti legittimi di completare l'handshake a tre vie
Prolexic
Akamai Prolexic blocca gli attacchi UDP flood con uno SLA immediato e la difesa più rapida ed efficace su larga scala. Prolexic fornisce soluzioni di mitigazione distribuite su cloud per tutte le porte e i protocolli al fine di bloccare gli attacchi nel cloud prima che diventino eventi con impatto sul business. Con Prolexic, il traffico di rete viene recapitato ad uno degli oltre 20 scrubbing center ad alta capacità dislocati in tutto il mondo, in cui possiamo fermare gli attacchi in prossimità dell'origine per massimizzare le performance degli utenti e garantire la resilienza della rete attraverso la distribuzione sul cloud. In ogni scrubbing center, il SOCC (Security Operations Command Center) di Akamai utilizza controlli proattivi e/o personalizzati di mitigazione progettati per arrestare immediatamente gli attacchi, restituendo un traffico pulito all'origine del cliente.
Edge DNS
Akamai Edge DNS è una soluzione DNS basata sul cloud che sfrutta Akamai Connected Cloud per fornire l'accesso a migliaia di server DNS in più di 1.000 punti di presenza in tutto il mondo. Con Edge DNS, le organizzazioni non devono più fare affidamento solo su due o tre server DNS, una pratica comune che lascia le organizzazioni vulnerabili alle interruzioni del data center e agli attacchi DDoS. Questa soluzione Akamai è in grado di assorbire i più grandi attacchi DDoS continuando a rispondere alle richieste degli utenti legittime, migliorando la resilienza e la reattività del DNS.
Domande frequenti (FAQ)
Un attacco UDP flood è un tipo di attacco DoS (Denial-of-Service) in cui i criminali possono falsificare un indirizzo IP di origine e generare pacchetti UDP (User Datagram Protocol) verso un server mirato. Quando il server non riesce a trovare un'applicazione associata ai pacchetti UDP, risponde con un pacchetto di destinazione irraggiungibile. Quando il numero di pacchetti UDP ricevuti e con risposta diventa eccessivo per essere gestito dal server, il sistema diventa sovraccarico e non può soddisfare le richieste di client e utenti legittimi.
Come un comune attacco DoS (Denial-of-Service), un attacco UDP flood può rendere facilmente non disponibile per gli utenti un server o un'applicazione. Ciò può comportare rapidamente un calo significativo della produttività, perdita di ricavi, danni alla reputazione e abbandono da parte dei clienti. Gli attacchi UDP flood sono considerati particolarmente pericolosi perché non esistono protezioni interne che possono limitare la velocità di un UDP flood, quindi sono eseguibili dai criminali con pochissime risorse.
Un attacco UDP flood si basa su un un protocollo senza connessione, pertanto è più pericoloso di un attacco TCP flood. Ciò significa che non è necessario stabilire una connessione prima di inviare i dati. Un attacco UDP flood può facilmente sovraccaricare un server con pacchetti contraffatti.
Perché i clienti scelgono Akamai
A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.