UDP flood یکی از انواع حملات DOS است که با استفاده از پروتکل UDP انجام می شود. در این مقاله شما را با UDP flood attack بیشتر آشنا خواهیم کرد، همراه داتیس نتورک باشید.
حمله UDP flood چیست؟
یکی از انواع حملات DOS است که با استفاده از پروتکل UDP انجام می شود.
حملهیUDP flood یکی از روشهای حملهی DoS یا DDoS به یک سرور است که با ارسال بستههای UDP در تعداد زیاد به پورتهای یک سرور، میتواند سرور را با پاسخگویی به بستههای ارسالی مشغول نگه دارد.
در حالت عادی، زمانی که سرور یک بستهی UDP دریافت میکند، برنامهای که مربوط به پورت مقصد بسته است را پیدا میکند و بسته را تحویل میدهد.
اگر پورت مقصد بسته متعلق به هیچ برنامهای نباشد، سرور یک پیام ICMP با عنوان Destination Unreachable برای مبدا ارسال میکند.
استفاده از UDP برای حملهٔ DoS به سادگی پروتکل TCP ساده نیست.
با این حال، میتوان با ارسال تعداد زیادی از بستههای UDP به درگاههای تصادفی روی یک میزبان از راه دور، حمله سیلاب UDP را آغاز کرد.
در نتیجه، میزبان دور:
- برنامهای که به آن پورت گوش میدهد را چک میکند.
- میبیند که هیچ برنامه ای در آن درگاه گوش نمیدهد.
- با یک بسته ICMP مقصد غیرقابل دستیابی پاسخ میدهد.
بنابراین، برای تعداد زیادی از بستههای UDP، سیستم قربانی مجبور میشود بسیاری از بستههای ICMP را بفرستد و در نهایت منجر به از دسترس خارج شدن آن برای دیگر کاربران میشود.
اکثر سیستم عاملها با محدود کردن میزان ارسال پاسخهای ICMP، این قسمت از حمله را کاهش میدهند.
عملکرد حملهی UDP flood
اگر مهاجم به طور مداوم بستهی ICMP به تعداد زیادی از پورتهای سرور ارسال کند (انتخاب پورتها میتواند تصادفی باشد)، بخش قابل توجهی از توان پردازشی سرور صرف بررسی پورتهای درخواست شده و ارسال پیام ICMP خواهد شد و در نتیجه نمیتواند به درخواستهای بسیاری از کاربران پاسخ بدهد.
گاهی در حملههای UDP flood، از source IP تغییر یافته به جای آدرس IP اصلی استفاده میشود.
در این حالت، هم شناسایی مبدا حمله تا حدی غیرممکن است و هم زمانی که پیامهای ICMP از سمت سرور ارسال میشوند، به IP های دیگری میروند و شبکهای که حمله کننده از آن استفاده میکند، اشباع نمیشود.
ابزارهای حمله سیلاب UDP:
- LOIC یا Low Orbit Ion Cannon
- UDP Unicorn
این حمله با بکارگیری دیوارهای آتش در نقاط کلیدی یک شبکه برای فیلتر کردن ترافیک ناخواسته شبکه قابل مدیریت است.
قربانی هرگز بستههای مخرب UDP را دریافت نمیکند و هرگز پاسخ نمیدهد زیرا فایروال آنها را متوقف میکند.
با این حال، از آنجا که فایروالها «حالت پذیر» هستند، یعنی فقط میتوانند تعدادی نشست را کنترل کنند، پس فایروالها نیز ممکن است مستعد حملات DoS باشند.
جلوگیری از حملهی UDP flood
برای جلوگیری از حملهی UDP flood، میتوان ارسال پیامهای ICMP را تا حد امکان محدود کرد و حتا در صورت نیاز، این سرویس را روی سرور غیرفعال کرد.
پیامهای ICMP عمومن برای اطلاعرسانی وضعیت شبکه استفاده میشوند و غیرفعال کردن آنها در شرایط ضروری، تاثیر زیادی بر عملکرد سرویسهای دیگر ندارد.
استفاده از فایروال هم میتواند تا حدی در مقابله با این حمله موثر باشد. میتوان در زمان حمله، بستههایی را که از پروتکل UDP استفاده میکنند، محدود کرد و جلوی ورود آنها را گرفت.
البته در شرایطی که حمله بسیار گسترده باشد، پردازش تمام این بستهها میتواند از توان فایروال هم خارج باشد و در نتیجه خود فایروال هم مورد حمله قرار بگیرد.
در حالت کلی، میتوان سرویسهای غیرضروری که از پروتکل UDP استفاده میکنند را غیرفعال کرد و پورتهای مربوط به آنها را بسته نگه داشت و تنها تعدادی از آنها که ضروری است (مانند پورت 53 برای سرویس DNS) را باز کرد.
اگر روی سرور سرویسهایی ارایه میشوند که الزامن از پورتهای UDP استفاده میکنند، استفاده از یک پروکسی برای بررسی اولیهی بستههای UDP دریافت شده هم، میتواند بسیار موثر باشد.
امیدواریم مقاله آشنایی با حملات سیلاب UDP برای شما عزیزان مفید بوده باشد.
داتیس نتورک را در شبکه های اجتماعی دنبال کنید.