Các cuộc tấn công DDoS của UDP Flood

Tác giả NetworkEngineer, T.Hai 04, 2021, 01:51:51 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Các cuộc tấn công DDoS của UDP Flood


1. Tấn công DDoS UDP Flood là gì?

UDP Flood là một dạng tấn công Từ chối Dịch vụ (DoS) theo khối lượng trong đó kẻ tấn công nhắm mục tiêu và áp đảo các cổng ngẫu nhiên trên máy chủ lưu trữ bằng các gói IP chứa gói Giao thức Dữ liệu Người dùng (UDP). Trong kiểu tấn công này, máy chủ lưu trữ tìm kiếm các ứng dụng được liên kết với các biểu đồ dữ liệu này. Khi không tìm thấy cái nào, máy chủ sẽ gửi lại gói "Đích đến không thể truy cập" cho người gửi. Hậu quả tích lũy của việc bị ảnh hưởng bởi một trận lũ lụt như vậy là hệ thống trở nên tràn ngập và do đó không phản hồi với lưu lượng truy cập hợp pháp.

Trong một cuộc tấn công DDoS tràn ngập UDP, kẻ tấn công cũng có thể chọn giả mạo địa chỉ IP của các gói tin. Điều này đảm bảo rằng các gói ICMP trả về không thể tiếp cận máy chủ của chúng, đồng thời giữ cho cuộc tấn công hoàn toàn ẩn danh.


2. Các dấu hiệu của một cuộc tấn công UDP Flood là gì?

Mỗi khi máy chủ nhận được gói UDP mới, các tài nguyên sẽ được sử dụng để xử lý yêu cầu. Bước đầu tiên trong quá trình này liên quan đến việc máy chủ xác định xem có chương trình nào đang chạy ở cổng được chỉ định hay không. Nếu không có chương trình nào tại cổng đó đang nhận gói tin, thì máy chủ sẽ đưa ra gói ICMP để thông báo cho người gửi rằng không thể đến được đích.

Khi tấn công UPD flood DDoS xuất phát từ nhiều máy, cuộc tấn công được coi là một mối đe dọa từ chối dịch vụ phân tán (DDoS). Khi nhiều máy được sử dụng để khởi chạy UPD flood DDoS, tổng lưu lượng truy cập thường sẽ vượt quá khả năng của (các) liên kết kết nối mục tiêu với Internet, dẫn đến tắc nghẽn.

3. Tại sao các cuộc tấn công UPD flood DDoS lại nguy hiểm?

UDP là một giao thức mạng không có kết nối và không có phiên. Không giống như TCP, lưu lượng UDP không yêu cầu bắt tay ba bước. Do đó, nó yêu cầu ít chi phí hơn và hoàn toàn phù hợp cho lưu lượng truy cập như trò chuyện hoặc VoIP mà không cần phải kiểm tra và kiểm tra lại.

Các thuộc tính tương tự khiến UDP trở nên lý tưởng cho một số loại lưu lượng nhất định cũng khiến nó dễ bị khai thác hơn. Không cần bắt tay ban đầu để đảm bảo kết nối hợp pháp, các kênh UDP có thể được sử dụng để gửi một khối lượng lớn lưu lượng đến bất kỳ máy chủ nào. Không có biện pháp bảo vệ nội bộ nào có thể hạn chế tốc độ của UPD flood DDoS. Kết quả là, các cuộc tấn công UPD flood DDoS đặc biệt nguy hiểm vì chúng có thể được thực hiện với một lượng tài nguyên hạn chế.

4. Làm thế nào để giảm thiểu và ngăn chặn một cuộc tấn công UDP Flood?

Ngăn chặn một cuộc tấn công UPD flood DDoS có thể là một thách thức. Hầu hết các hệ điều hành cố gắng giới hạn tốc độ phản hồi của các gói ICMP với mục tiêu ngăn chặn các cuộc tấn công DDoS. Nhược điểm của hình thức giảm thiểu này là nó cũng lọc ra các gói tin hợp pháp. Trong trường hợp UPD flood DDoS thực sự có khối lượng lớn, ngay cả khi tường lửa của máy chủ có thể giảm thiểu cuộc tấn công, tắc nghẽn hoặc làm chậm hoàn toàn có khả năng xảy ra ngược dòng, gây ra gián đoạn.

Công nghệ Anycast, sử dụng tính năng kiểm tra gói tin sâu, có thể được sử dụng để cân bằng tải tấn công trên một mạng lưới máy chủ. Phần mềm quét được thiết kế để xem xét danh tiếng IP, các thuộc tính bất thường và hành vi đáng ngờ, có thể phát hiện và lọc ra các gói DDoS độc hại, do đó chỉ cho phép lưu lượng truy cập sạch đi qua máy chủ.