Attaque UDP Flood

Une UDP flood peut surcharger à la fois un serveur et le pare-feu qui le protège.

Share facebook icon linkedin icon twitter icon email icon

UDP Flood

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS SYN Flood
  • Pouvoir expliquer le fonctionnement d'une attaque UDP flood
  • Comprendre plusieurs stratégies d'atténuation des UDP floods

Qu'est-ce qu'une attaque UDP flood ?

Une UDP flood est un type d'attaque par déni de service dans lequel un grand nombre de paquets UDP (User Datagram Protocol) sont envoyés à un serveur cible dans le but de neutraliser la capacité de traitement et de réponse de ce dispositif. Le pare-feu protégeant le serveur cible peut également s'épuiser à la suite d'une inondation UDP, entraînant un déni de service pour le trafic légitime.

Comment fonctionne une attaque UDP flood ?

Une UDP flood opère principalement en exploitant les étapes qu'un serveur suit lorsqu'il répond à un paquet UDP envoyé à l'un de ses ports. Dans des conditions normales, lorsqu'un serveur reçoit un paquet UDP sur un port particulier, il passe par deux étapes pour y répondre.

  1. Le serveur vérifie d'abord si des programmes en cours d'exécution écoutent les requêtes sur le port spécifié.
  2. Si aucun programme ne reçoit de paquets sur ce port, le serveur répond avec un paquet ICMP (ping) pour informer l'expéditeur que la destination est injoignable.

On peut imaginer une UDP flood dans le contexte d'un réceptionniste d'hôtel relayant des appels. Tout d'abord, le réceptionniste reçoit un appel téléphonique où le correspondant demande à être connecté à une chambre spécifique. Le réceptionniste doit ensuite consulter la liste de toutes les chambres pour s'assurer que le client est disponible dans la chambre et qu'il est prêt à prendre l'appel. Lorsque le réceptionniste se rend compte que le client ne prend aucun appel, il doit reprendre le téléphone et dire au correspondant que le client ne prendra pas l'appel. Si, soudainement, toutes les lignes téléphoniques s'allument simultanément avec des demandes similaires, il sera rapidement débordé.

DDoS bot traffic metaphor

Chaque nouveau paquet UDP reçu par le serveur passe par des étapes pour traiter la requête en faisant appel aux ressources du serveur. Lorsque les paquets UDP sont transmis, chaque paquet comprend l'adresse IP du périphérique source. Lors de ce type d'attaque DDoS, un pirate n'utilisera généralement pas sa propre adresse IP réelle, mais usurpera plutôt l'adresse IP source des paquets UDP, empêchant ainsi l'exposition de la localisation réelle du pirate et sa saturation potentielle avec les paquets de réponse du serveur cible.


Comme le serveur cible utilise des ressources pour vérifier et ensuite répondre à chaque paquet UDP reçu, les ressources de la cible peuvent s'épuiser rapidement lorsqu'un grand nombre de paquets UDP sont reçus, entraînant un déni de service au trafic normal.

UDP flood DDoS attack animation

Comment atténuer une attaque UDP Flood ?

La plupart des systèmes d'exploitation limitent le taux de réponse des paquets ICMP en partie pour entraver les attaques DDoS qui nécessitent une réponse ICMP. Un inconvénient de ce type d'atténuation est que lors d'une attaque, les paquets légitimes peuvent également être filtrés dans le processus. Si UDP flood a un volume suffisamment élevé pour saturer la table d'état du pare-feu du serveur cible, toute atténuation qui se produit au niveau du serveur sera insuffisante car le goulot d'étranglement se produira en amont du dispositif visé.

Comment Cloudflare procède-t-elle pour atténuer les attaques UDP Flood ?

Afin d'atténuer le trafic d'attaque UDP avant qu'il n'atteigne sa cible, Cloudflare laisse tomber tout le trafic UDP non lié au DNS en périphérie du réseau. Comme le réseau Anycast de Cloudflare diffuse le trafic web à travers de nombreux datacenters, nous avons une capacité suffisante pour gérer les attaques UDP de toute taille. En savoir plus sur la protection DDoS de Cloudflare.