Un attacco UDP flood è un tipo di attacco Denial of Service. Come per altri attacchi flood, come il Ping flood, l’HTTP flood e il SYN flood, un cy­ber­cri­mi­na­le invia una serie di pacchetti di dati ma­ni­po­la­ti al sistema di de­sti­na­zio­ne. Il suo scopo è di so­vrac­ca­ri­car­lo fino a quando non sarà più in grado di ri­spon­de­re a richieste legittime. A questo punto, il servizio effettivo collassa.

Che cos’è un attacco UDP flood?

Nel caso dell’UDP flood si tratta di un co­sid­det­to attacco DoS vo­lu­me­tri­co: come per il ping flood, l’obiettivo è quello di so­vrac­ca­ri­ca­re il sistema oggetto dell’attacco con un flusso eccessivo di dati in ingresso. Quindi, l’UDP flood dif­fe­ri­sce sia dal Ping of Death, che provoca il crash del sistema di de­sti­na­zio­ne sfrut­tan­do un errore di memoria, sia dal SYN flood, che consuma le risorse sul server. Tutti gli attacchi DoS men­zio­na­ti hanno in comune l’in­ten­zio­ne di so­vrac­ca­ri­ca­re il bersaglio e di impedirne, quindi, l’uso legittimo.

L’UDP flood si è gua­da­gna­to l’at­ten­zio­ne del grande pubblico grazie a spet­ta­co­la­ri attacchi hacker contro or­ga­niz­za­zio­ni globali. Oltre a Scien­to­lo­gy, sono state attaccate aziende del settore mediatico e fi­nan­zia­rio. I siti web e i servizi in­te­res­sa­ti sono col­las­sa­ti per il carico del flusso di dati di­ven­tan­do inac­ces­si­bi­li ai loro utenti, talvolta anche per diverse ore. In questo tipo di attacchi, è stato uti­liz­za­to il potente strumento Low OrbitIon Cannon (LOIC) per lanciare l’UDP flood.

Come funziona l’attacco UDP flood

L’attacco UDP flood si basa sullo User Datagram Protocol (UDP). Se un pacchetto UDP viene ricevuto da un server, il sistema operativo verifica la presenza di ap­pli­ca­zio­ni in ascolto sulla porta spe­ci­fi­ca­ta. Se non trova alcuna ap­pli­ca­zio­ne, il server deve informare il mittente. Poiché UDP è un pro­to­col­lo con­nec­tion­less (senza con­nes­sio­ne), il server utilizza l’ICMP (Internet Control Message Protocol) per informare il mittente che non è stato possibile con­se­gna­re il pacchetto.

Un attacco UDP flood si svolge nel modo seguente:

  1. Un utente malevolo invia pacchetti UDP con un indirizzo IP del mittente fal­si­fi­ca­to a porte casuali sul sistema oggetto dell’attacco.
     
  2. Il sistema di de­sti­na­zio­ne deve ripetere il seguente processo per ogni pacchetto in entrata:
    1. Con­trol­la­re se ci sono ap­pli­ca­zio­ni in ascolto sulla porta spe­ci­fi­ca­ta nel pacchetto UDP; dal momento che si tratta di una porta se­le­zio­na­ta ca­sual­men­te, in genere non è così.
    2. Inviare al presunto mittente un pacchetto ICMP “De­sti­na­tion Un­rea­cha­ble”; poiché l’indirizzo IP è stato fal­si­fi­ca­to, questi pacchetti vengono so­li­ta­men­te ricevuti da una parte non coinvolta.
Immagine: Funzionamento dell’UDP flood
L’hacker so­vrac­ca­ri­ca la vittima con un’ondata di pacchetti di dati UDP.

Come di­fen­der­si dagli attacchi UDP flood

Un attacco di rete vo­lu­me­tri­co può essere fa­cil­men­te in­di­vi­dua­to at­tra­ver­so l’im­prov­vi­so picco nel volume del traffico di rete in entrata. Il traffico di rete viene re­go­lar­men­te mo­ni­to­ra­to dai provider di rete e da altre parti in­te­res­sa­te e spe­cia­liz­za­te. In questo modo, si può in­ter­ve­ni­re per ridurre al minimo i danni dell’attacco.

Le misure che for­ni­sco­no una pro­te­zio­ne efficace contro gli attacchi UDP flood includono in par­ti­co­la­re le seguenti:

  • Limitare le risposte ICMP per unità di tempo: la li­mi­ta­zio­ne delle risposte ICMP si verifica in genere a livello del sistema operativo.
     
  • Fil­trag­gio a livello di firewall sul server: ciò consente di scartare i pacchetti sospetti. Tuttavia, anche il firewall può col­las­sa­re sotto il carico di un attacco UDP flood.
     
  • Fil­trag­gio dei pacchetti UDP ad eccezione del DNS a livello di rete: le query DNS vengono in genere eseguite tramite UDP. Qualsiasi altra fonte che genera un traffico UDP eccessivo viene clas­si­fi­ca­ta come sospetta e i pacchetti vengono scartati.

Per mitigare un attacco in corso, gli am­mi­ni­stra­to­ri dei server uti­liz­za­no anche servizi cloud spe­cia­liz­za­ti come Clou­d­fla­re, che dividono il traffico di rete su diversi data center di­stri­bui­ti a livello globale. Questa procedura fornisce così una larghezza di banda maggiore per assorbire meglio il volume del flusso di dati in ingresso in caso di attacco. Inoltre, per im­po­sta­zio­ne pre­de­fi­ni­ta, il flusso di dati viene filtrato per bloccare gli attacchi già nella fase iniziale.

Vai al menu prin­ci­pa­le