Une UDP flood peut surcharger à la fois un serveur et le pare-feu qui le protège.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Une UDP flood est un type d'attaque par déni de service dans lequel un grand nombre de paquets UDP (User Datagram Protocol) sont envoyés à un serveur cible dans le but de neutraliser la capacité de traitement et de réponse de ce dispositif. Le pare-feu protégeant le serveur cible peut également s'épuiser à la suite d'une inondation UDP, entraînant un déni de service pour le trafic légitime.
Une UDP flood opère principalement en exploitant les étapes qu'un serveur suit lorsqu'il répond à un paquet UDP envoyé à l'un de ses ports. Dans des conditions normales, lorsqu'un serveur reçoit un paquet UDP sur un port particulier, il passe par deux étapes pour y répondre.
On peut imaginer une UDP flood dans le contexte d'un réceptionniste d'hôtel relayant des appels. Tout d'abord, le réceptionniste reçoit un appel téléphonique où le correspondant demande à être connecté à une chambre spécifique. Le réceptionniste doit ensuite consulter la liste de toutes les chambres pour s'assurer que le client est disponible dans la chambre et qu'il est prêt à prendre l'appel. Lorsque le réceptionniste se rend compte que le client ne prend aucun appel, il doit reprendre le téléphone et dire au correspondant que le client ne prendra pas l'appel. Si, soudainement, toutes les lignes téléphoniques s'allument simultanément avec des demandes similaires, il sera rapidement débordé.
Chaque nouveau paquet UDP reçu par le serveur passe par des étapes pour traiter la requête en faisant appel aux ressources du serveur. Lorsque les paquets UDP sont transmis, chaque paquet comprend l'adresse IP du périphérique source. Lors de ce type d'attaque DDoS, un attaquant n'utilisera généralement pas sa propre adresse IP réelle, mais usurpera plutôt l'adresse IP source des paquets UDP, empêchant ainsi l'exposition de la localisation réelle du pirate et sa saturation potentielle avec les paquets de réponse du serveur cible.
Comme le serveur cible utilise des ressources pour vérifier et ensuite répondre à chaque paquet UDP reçu, les ressources de la cible peuvent s'épuiser rapidement lorsqu'un grand nombre de paquets UDP sont reçus, entraînant un déni de service au trafic normal.
La plupart des systèmes d'exploitation limitent le taux de réponse des paquets ICMP en partie pour entraver les attaques DDoS qui nécessitent une réponse ICMP. Un inconvénient de ce type d'atténuation est que lors d'une attaque, les paquets légitimes peuvent également être filtrés dans le processus. Si UDP flood a un volume suffisamment élevé pour saturer la table d'état du pare-feu du serveur cible, toute atténuation qui se produit au niveau du serveur sera insuffisante car le goulot d'étranglement se produira en amont du dispositif visé.
Afin d'atténuer le trafic d'attaque UDP avant qu'il n'atteigne sa cible, Cloudflare laisse tomber tout le trafic UDP non lié au DNS en périphérie du réseau. Comme le réseau Anycast de Cloudflare diffuse le trafic web à travers de nombreux datacenters, nous avons une capacité suffisante pour gérer les attaques UDP de toute taille. En savoir plus sur la protection contre les attaques DDoS de Cloudflare.