Открыть сервис

UDP-флуд

UDP-флуд — это разновидность DDoS-атаки (распределённой атаки типа «отказ в обслуживании»), направленная на исчерпание ресурсов целевой системы путём отправки большого количества UDP-пакетов (User Datagram Protocol) на случайные или определённые порты жертвы. Целью атаки является перегрузка сетевого канала, сетевого оборудования или вычислительных ресурсов сервера, что приводит к недоступности легитимных сервисов для пользователей.

Принцип действия

UDP-флуд основан на особенностях протокола UDP, который является негарантированным протоколом транспортного уровня. В отличие от TCP, UDP не требует установки соединения (трёхстороннего рукопожатия) и не подтверждает доставку пакетов. Это делает его уязвимым для злоупотреблений: злоумышленник может отправлять пакеты с поддельными IP-адресами отправителя (спуфинг), не опасаясь разрыва соединения.

При UDP-флуде атакующий генерирует поток UDP-пакетов, направленных на произвольные порты целевого хоста. Когда сервер получает такой пакет, он проверяет, есть ли на указанном порту приложение, ожидающее входящие данные. Если порт закрыт, сервер отвечает ICMP-пакетом «Destination Unreachable» (пункт назначения недоступен). Если порт открыт, пакет передаётся приложению для обработки. В обоих случаях сервер тратит процессорные и сетевые ресурсы на обработку каждого пакета. При достаточном объёме трафика это приводит к истощению ресурсов: переполнению буферов сетевой карты, исчерпанию полосы пропускания канала, высокой загрузке CPU, что в итоге парализует работу сервера.

Классификация UDP-флуда

UDP-флуд можно разделить на несколько типов в зависимости от целей и методов реализации:

По объёму трафика

  • Высокообъёмный (Volumetric) UDP-флуд — атака, направленная на переполнение канала связи. Генерируется огромное количество пакетов, часто с использованием ботнетов или усиления (amplification). Цель — сделать канал недоступным для легитимного трафика.
  • Низкообъёмный (Low-and-Slow) UDP-флуд — атака с небольшим, но постоянным потоком пакетов, направленная на исчерпание ресурсов приложений или сетевого стека. Может быть сложнее обнаружить, так как не создаёт резкого скачка трафика.

По методу генерации

  • Прямой UDP-флуд — пакеты отправляются напрямую с одного или нескольких источников (например, с помощью утилит типа hping3 или LOIC). Эффективен только при слабой защите цели.
  • UDP-флуд с усилением (Amplification) — атака, использующая уязвимости протоколов для многократного увеличения объёма трафика. Злоумышленник отправляет небольшой запрос на публичный сервер (например, DNS, NTP, SSDP, Memcached) с поддельным IP-адресом жертвы. Сервер отвечает гораздо более крупным ответом, который направляется жертве. Коэффициент усиления может достигать от 10 до 1000 раз в зависимости от протокола.

По типу используемых протоколов

  • DNS-амплификация — использование открытых DNS-резолверов для усиления трафика.
  • NTP-амплификация — использование протокола Network Time Protocol (команда monlist).
  • SSDP-амплификация — использование протокола Simple Service Discovery Protocol (UPnP).
  • Memcached-амплификация — использование протокола Memcached (коэффициент усиления до 51000).

Технические аспекты

Размер пакетов

Злоумышленники могут использовать как стандартные (например, 1500 байт — максимальный размер Ethernet-кадра), так и фрагментированные пакеты. Фрагментация усложняет фильтрацию, так как требует сборки пакетов перед анализом. Однако крупные пакеты быстрее исчерпывают полосу пропускания.

Спуфинг (подмена IP-адреса)

Подмена IP-адреса отправителя — ключевой элемент UDP-флуда. Это затрудняет идентификацию источника атаки и блокировку по IP. Для эффективного спуфинга требуется контроль над маршрутизацией (например, использование ботнета или эксплуатация уязвимостей в сетевом оборудовании). В современных сетях многие провайдеры внедряют фильтрацию BCP 38 (RFC 2827), которая блокирует пакеты с поддельными IP-адресами на уровне граничных маршрутизаторов.

Скорость атаки

Скорость UDP-флуда измеряется в пакетах в секунду (pps) и гигабитах в секунду (Gbps). Современные атаки могут достигать десятков терабит в секунду (например, атака на GitHub в 2018 году — 1.35 Tbps, атака на AWS в 2020 году — 2.3 Tbps). Для сравнения, типичный домашний интернет-канал имеет пропускную способность 100–1000 Mbps.

История и примеры

Первые UDP-флуды были зафиксированы в конце 1990-х годов, когда стали популярны простые инструменты для атак, такие как UDPFlood (часть набора Trinoo). С развитием интернета и появлением ботнетов мощность атак многократно возросла.

  • 2000 год — атаки на Yahoo!, eBay, Amazon и другие крупные сайты с использованием UDP-флуда и других методов. Мощность атак составляла порядка 1 Gbps.
  • 2013 год — атака на Spamhaus с использованием DNS-амплификации. Мощность достигала 300 Gbps.
  • 2016 годатака на Dyn (провайдер DNS) с использованием ботнета Mirai, которая затронула такие сервисы, как Twitter, Netflix, Reddit. Атака комбинировала UDP-флуд с другими типами.
  • 2018 год — атака на GitHub, достигшая 1.35 Tbps, с использованием Memcached-амплификации.
  • 2020 год — атака на AWS, достигшая 2.3 Tbps, также с использованием амплификации.

Методы защиты

Защита от UDP-флуда требует комплексного подхода на разных уровнях сети:

Фильтрация на уровне сети

  • Фильтрация BCP 38блокировка пакетов с поддельными IP-адресами на граничных маршрутизаторах.
  • Rate limiting (ограничение скорости) — установка порогов на количество UDP-пакетов в секунду для определённых портов или IP-адресов.
  • Access Control Lists (ACL) — блокировка нежелательных протоколов (например, NTP, DNS, SSDP) для внешних запросов, если они не используются.

Использование специализированных решений

  • Аппаратные и программные DDoS-защиты — устройства (например, Arbor Networks, Radware, F5) или облачные сервисы (Cloudflare, Akamai, AWS Shield), которые анализируют трафик и отбрасывают вредоносные пакеты.
  • Anycast-сети — распределение трафика по нескольким дата-центрам, что позволяет поглощать атаки за счёт избыточной пропускной способности.

Настройка серверного ПО

  • Отключение ненужных UDP-сервисов — закрытие портов, которые не используются (например, SNMP, NTP, DNS).
  • Использование межсетевых экранов (firewall) — настройка правил, разрешающих только легитимный UDP-трафик (например, только от известных DNS-серверов).
  • Мониторинг и анализ — использование систем обнаружения вторжений (IDS) и анализа трафика (NetFlow, sFlow) для выявления аномалий.

Правовые и организационные меры

  • Сотрудничество с провайдерами — оперативное уведомление о атаке для блокировки на уровне магистральных сетей.
  • План реагирования на инциденты — заранее разработанные процедуры для минимизации ущерба.

Критика и этические аспекты

UDP-флуд, как и другие DDoS-атаки, является незаконным действием в большинстве юрисдикций мира, включая Российскую Федерацию. В России ответственность за DDoS-атаки предусмотрена статьёй 272 УК РФ («Неправомерный доступ к компьютерной информации») и статьёй 273 УК РФ («Создание, использование и распространение вредоносных программ»). Максимальное наказание — до 7 лет лишения свободы. Кроме того, использование ботнетов и амплификационных серверов может быть квалифицировано как подготовка к террористическому акту или экстремистской деятельности.

Инструменты для проведения UDP-флуда (например, LOIC, HOIC, Slowloris) часто распространяются как «тестовые» или «образовательные», но их использование для атак на реальные системы является уголовно наказуемым. В сообществе специалистов по информационной безопасности принято осуждать такие действия, а публикация инструкций по атакам рассматривается как вредоносная деятельность.

Интересные факты

  • Протокол UDP был разработан в 1980 году Дэвидом Ридом как часть набора протоколов TCP/IP. Его простота и отсутствие контроля доставки стали причиной как уязвимости к флуду, так и широкого применения в реальном времени (VoIP, видеоконференции, онлайн-игры).
  • Атаки с усилением Memcached в 2018 году стали рекордными по коэффициенту усиления (до 51000), что позволило злоумышленникам с небольшой полосой пропускания генерировать терабитные атаки.
  • В 2021 году компания Cloudflare зафиксировала атаку UDP-флудом мощностью 26 Tbps, которая была успешно отражена благодаря распределённой инфраструктуре.
  • Некоторые организации, такие как Spamhaus, публикуют списки «усилителей» (amplifiers) — открытых серверов, которые могут быть использованы для атак, чтобы провайдеры могли их закрыть.

Источники

  • RFC 768 — User Datagram Protocol (1980).
  • «DDoS Attack Trends for 2020–2023» — отчёты компаний Cloudflare, Akamai, Arbor Networks.
  • Уголовный кодекс Российской Федерации, статьи 272, 273.
  • «Understanding UDP Flood Attacks» — технические статьи Cisco, Juniper Networks.
  • «The Mirai Botnet and the Dyn Attack» — анализ компании Dyn (2016).
  • «Memcached DDoS Attack Amplification» — отчёт компании GitHub (2018).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →