UDP (User Datagram Protocol) to jeden z dwóch głównych protokołów służących do komunikacji na linii klient-serwer w warstwie transportowej modelu OSI. W przeciwieństwie do równie często spotykanego protokołu TDP (Transmission Control Protocol), komunikacja w protokole UDP przebiega w sposób ciągły – pomijany jest tzw. handshake, czyli proces uzgadniania parametrów połączenia. Zastosowanie protokołu UDP jest więc znacznie szybszym sposobem komunikacji. Stosuje się go powszechnie w usługach związanych ze strumieniowaniem dźwięku i obrazu, prowadzeniem rozmów czy organizowaniem gier online. Ma jednak wadę w postaci znaczącej podatności na ataki Denial of Service (DoS)Denial of Service (DoS) i Distributed Denial of Service (DDoS).

 

UDP flood jest jednym z rodzajów ataków DoS/DDoS. Polega na wysyłaniu z dużą częstotliwością dużej liczby pakietów UDP do różnych portów serwera. UDP jest protokołem bezpołączeniowym, w związku z czym serwer musi przetworzyć każde żądanie, odpowiadając na nie pakietem ICMP, a to bardzo szybko prowadzi do przeciążenia łącza.

 

Dużą popularnością wśród hakerów cieszą się także ataki amplifikacyjne, zwane odbiciowymi (ang. reflected UDP flooding). W tym przypadku atakujący wysyła do wybranego serwera żądanie, którego zadaniem jest wygenerowanie dużego obciążenia (np. poprzez pobrania całej zawartości witryny). Jednocześnie, za pomocą spoofingu, wskazuje adres serwera ofiary, jako adres wysyłającego pakiet z żądaniem. Jako że UDP nie wymaga wcześniejszego nawiązania połączenia i uwierzytelnienia nadawcy, serwer ofiary zalewany jest coraz większą ilością danych, aż do osiągnięcia założonego celu, czyli zablokowania usługi. Spoofing jest też powszechnie wykorzystywany przy standardowych atakach UDP flood w celu ukrycia adresu IP sprawcy.

 

Przeprowadzenie ataku UDP flood nie wymaga od hakera dużych umiejętności ani zasobów technicznych. Jego konsekwencje mogą być jednak bardzo poważne – bez względu na wielkość organizacji.

   

Choć w wyniku ataków DoS i DDoS nie dochodzi zwykle do wycieku danych czy trwałego uszkodzenia infrastruktury informatycznej, to operacja przeprowadzona przez doświadczonego hakera może wiązać się z wysokimi kosztami wynikającymi z niedostępności usług:

 

• Utrata przychodów– w przypadku firm świadczących usługi online brak możliwości korzystania z aplikacji przez klientów przekłada się bezpośrednio na spadek obrotów. Dla dużych korporacji kilkugodzinna przerwa w dostępności może oznaczać wielomilionowe straty. Powtarzająca się niedostępność usługi może ponadto prowadzić do trwałej utraty klientów.


• Kary umowne – brak dostępu do usługi prowadzi do niewywiązania się z umów SLA i kontraktów biznesowych.


• Koszt odparcia ataków – atak UDP flood może trwać zarówno kilka minut, jak i kilka dni. Do jego odparcia może być potrzebna pomoc zespołu specjalistów ds. cyberbezpieczeństwa, co generuje dodatkowe koszty.


• Paraliż procesów biznesowych – haker przeprowadzający atak UDP flood może zablokować działanie wewnętrznych komunikatorów, poczty elektronicznej czy systemów VoIP.

 

UDP flood i inne odmiany ataków DoS/DDoS to duże zagrożenia dla organizacji. Istnieją jednak skuteczne sposoby obrony przed nimi.

   

UDP flood jest stosunkowo dobrze rozpoznanym i przebadanym atakiem. W celu zwiększenia skuteczności ochrony organizacje stosują wiele strategii jednocześnie.

 

Właściwa konfiguracja zapory sieciowej

 

Firewall to obecnie jedno z podstawowych i uniwersalnych narzędzi cyberbezpieczeństwa. Jego działanie opiera się na zestawie reguł, według których blokowany jest ruch sieciowy. Odpowiednia konfiguracja firewalla pozwala zablokować podejrzany ruch UDP, przyjmując za kryteria np.:

 

• duże natężenie zapytań,


• częstotliwość wysyłania pakietów,


• lokalizację nadawcy.

 

Firewall pozwala też zablokować ruch na konkretnych portach serwera. Ta metoda nie jest jednak w stu procentach skuteczna. Firewall musi przetworzyć każdy przychodzący pakiet danych, aby zdecydować o ewentualnej blokadzie ruchu, natomiast atak wolumetryczny może być wymierzony właśnie w zaporę sieciową, blokując jej prawidłowe działanie. Poleganie na zaporze sieciowej może też prowadzić do występowania zbyt wielu fałszywych alarmów i blokowania legalnego ruchu. Nie należy więc traktować firewalla jako samodzielnej formy ochrony przed atakami typu Denial of Service.

 

Ponadto, zarządzanie konfiguracją firewalli w kontekście ochrony przed atakami DDoS wymaga specjalistycznej wiedzy oraz czasu, a więc dodatkowo obciąża wewnętrzny zespół IT. Warto przy tym wspomnieć, że rozwiązania typu WAF (ang. Web Application Firewall) nie są skuteczne wobec ataków typu UDP flood. Z założenia WAF chroni przed atakami w aplikacyjnej warstwie siódmej modeli OSI, podczas gdy ataki wykorzystujące protokół UDP przeprowadzane są w warstwie transportowej.

 

Ograniczenie przepustowości łącza i szybkości protokołu ICMP

 

Wyjściem, w przypadku ataku UDP flood, może być ograniczenie liczby pakietów UDP, które serwer może przetworzyć w danym czasie. Nadmiarowe pakiety są wówczas odrzucane, a usługa może nadal działać, choć z ograniczoną wydajnością.

 

Podczas odpierania ataków UDP flood pomocne okazuje się ograniczenie wysyłania pakietów ICMP Destination Unreachable. Zmniejszenie ich ilości redukuje obciążenie sieci – przynajmniej do czasu zwiększenia intensywności ataku.

 

Powyższe metody wiążą się jednak ze spadkiem jakości obsługi legalnych klientów i spowolnieniem działania aplikacji. Wymagają też dogłębnej analizy ruchu sieciowego i wprowadzania częstych zmian w konfiguracji serwerów. Ponadto, przy atakach o dużym wolumenie ograniczenie przepustowości łącza może być zwyczajnie nieskuteczne.

 

Dedykowane usługi filtrujące nieprawidłowy ruch

 

Na rynku (w ofercie niektórych Data Center) dostępne są także dedykowane usługi SaaS, których zadaniem jest zapobieganie skutkom ataków DoS/DDoS różnego rodzaju. Usługa, oferowana przez niektóre Data Center, polega na pośrednictwie w ruchu pomiędzy klientem a serwerem oraz na filtrowaniu pakietów danych, które mogą być próbą ataku. Systemy wykrywają podejrzane pakiety, adresy nadawców czy wzorce zachowań, a nadmiarowy ruch przekierowują do różnych serwerów, co pozwala zmniejszyć obciążenie i zachować ciągłość usługi.

 

Gotowe rozwiązania są zazwyczaj najskuteczniejszą i najbardziej efektywną kosztowo propozycją dla firm różnych wielkości. Są stosunkowo proste do wdrożenia i dostarczane wraz z łączem internetowym. Jako usługa SaaS są też łatwe w skalowaniu – bez konieczności inwestowania w sprzęt i własną infrastrukturę. Mogą zminimalizować skutki ataku w krótkim czasie bez względu na jego rozmiary.

   

Jedną z dostępnych na rynku usług bezpieczeństwa do ochrony przed atakami DoS/DDoS jest Netia DDoS Protection. Usługa monitoruje ruch zarówno w warstwie sieciowej, transportowej, jak i aplikacyjnej. W przypadku wystąpienia ataku, nadmiarowy ruch jest kierowany do Centrum Przeciwdziałania Atakom DDoS (Scrubbing Center) zlokalizowanego w sieci Netii, gdzie jest czyszczony, a następnie do klienta kierowany jest ruch właściwy. Klient otrzymuje powiadomienia o trwającym ataku DDoS oraz dostęp do panelu użytkownika zawierającego wszystkie niezbędne informacje dotyczące ataku.

 

Ataki z rodziny DoS/DDoS to jedne z najczęściej spotykanych zdarzeń w obszarze cyberbezpieczeństwa. Narażone na tego rodzaju incydenty są przede wszystkim firmy udostępniające usługi i aplikacje, sklepy internetowe oraz witryny jednostek administracji publicznej. Z uwagi na łatwość przeprowadzenia tego rodzaju ataku i jego poważne skutki każda firma powinna opracować strategię radzenia sobie z takim zagrożeniem oraz posiadać niezbędne środki zapobiegawcze.