UDP-Flood-Angriff

Eine UDP-Flood kann sowohl einen Server als auch die Firewall überfluten, von der er geschützt wird.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Einen UDP-Flood-DDoS-Angriff definieren
  • Den Ablauf eines UDP-Flood-Angriffs erklären
  • Mehrere Bekämpfungsstrategien für UDP-Floods verstehen

Link zum Artikel kopieren

Was ist ein UDP-Flood-Angriff?

Eine UDP-Flood ist ein Denial-of-Service-Angriffstyp, bei dem eine große Anzahl von UDP-(User Datagram Protocol)-Paketen an einen Zielserver gesendet wird, die darauf abzielen, die Verarbeitungs- und Reaktionsmöglichkeiten dieses Geräts zu überlasten. Infolge der UDP-Überflutung kann die Firewall, die den Zielserver schützt, ebenfalls überlastet werden, wodurch ein Denial-of-Service für legitimen Datenverkehr verursacht wird.

Wie läuft ein UDP-Flood-Angriff ab?

Bei einer UDP-Flood werden in erster Linie die Schritte ausgenutzt, die ein Server unternimmt, wenn er auf ein UDP-Paket antwortet, das an einen seiner Ports gesendet wird. Wenn ein Server unter normalen Umständen ein UDP-Paket an einem bestimmten Port empfängt, antwortet er darauf in zwei Schritten:

  1. Der Server überprüft zuerst, ob Programme laufen, die gegenwärtig auf Anfragen an dem jeweiligen Port achten.
  2. Wenn an diesem Port keine Programme Pakete empfangen, antwortet der Server mit einem ICMP-(Ping)-Paket, um den Sender zu informieren, dass das Ziel nicht erreichbar war.

Man kann sich eine UDP-Flood wie einen Hotelrezeptionisten vorstellen , der Anrufe weiterleitet. Zuerst erhält der Rezeptionist einen Anruf, bei dem der Anrufer mit einem bestimmten Zimmer verbunden werden möchte. Er muss dann die Liste aller Zimmer durchgehen, um sicherzustellen, dass der Gast in dem Zimmer anwesend und bereit ist, den Anruf anzunehmen. Wenn der Rezeptionist feststellt, dass der Gast keine Anrufe entgegennimmt, muss er das Telefon wieder aufnehmen und dem Anrufer erklären, dass der Gast den Anruf nicht annimmt. Wenn plötzlich auf allen Telefonleitungen gleichzeitig dieselben Anfragen eingehen, werden sie schnell überlastet.

DDoS bot traffic metaphor

Beim Empfang jedes neuen UDP-Pakets durchläuft der Server bestimmte Schritte, um die Anfrage zu verarbeiten, wobei Serverressourcen beansprucht werden. Wenn UDP-Pakete übertragen werden, enthält jedes Paket die IP-Adresse des Quellgeräts. Während dieses DDoS-Angriffstyps benutzt ein Angreifer im Allgemeinen nicht seine eigene echte IP-Adresse, sondern spooft statt dessen die Quell-IP-Adresse des UDP-Pakets, um zu verhindern, dass sein echter Standort offengelegt und potentiell mit den Antwortpaketen vom Zielserver gesättigt wird.


Da der Zielserver Ressourcen beansprucht, um jedes empfangene UDP-Paket zu überprüfen und darauf zu antworten, können sich seine Ressourcen schnell erschöpfen, wenn eine große Flut an UDP-Paketen empfangen wird. Die Folge ist ein Denial-of-Service für normalen Datenverkehr.

UDP flood DDoS attack animation

Wie wird ein UDP-Flood-Angriff bekämpft?

Die meisten Betriebssysteme begrenzen die Reaktionsrate von ICMP-Paketen teilweise, um DDoS-Angriffe zu entschärfen, die eine ICMP-Antwort verlangen. Ein Nachteil dieser Bekämpfungsmethode besteht darin, dass während eines Angriffs auch legitime Pakete herausgefiltert werden können. Wenn die UDP-Flood ein ausreichend hohes Volumen hat, um die Zustandstabelle der Firewall des Zielservers zu sättigen, ist jede Bekämpfung auf Serverebene unzureichend, weil der Engpass oberhalb des Zielgeräts auftritt.

Wie bekämpft Cloudflare UDP-Flood-Angriffe?

Um UDP-Angriffs-Traffic zu bekämpfen, bevor er sein Ziel erreicht, legt Cloudflare allen UDP-Traffic, der nicht DNS-zugehörig ist, am Netzwerkrand ab. Da Cloudflares Anycast Network Webtraffic über viele Rechenzentren zerstreut, haben wir eine ausreichende Kapazität, um mit UDP-Flood-Angriffen jeder Größenordnung fertig zu werden. Erfahren Sie mehr über Cloudflares DDoS-Schutz.