help-header

حمله‌ی UDP Flood چیست؟

حمله‌یUDP flood یکی از روش‌های حمله‌ی DoS یا DDoS به یک سرور است که با ارسال بسته‌های UDP در تعداد زیاد به پورت‌های یک سرور، می‌تواند سرور را با پاسخ‌گویی به بسته‌های ارسالی مشغول نگه‌ دارد. در حالت عادی، زمانی که سرور یک بسته‌ی UDP دریافت می‌کند، برنامه‌ای که مربوط به پورت مقصد بسته است را پیدا می‌کند و بسته را تحویل می‌دهد. اگر پورت مقصد بسته متعلق به هیچ برنامه‌ای نباشد، سرور یک پیام ICMP با عنوان Destination Unreachable برای مبدا ارسال می‌کند.

 

عملکرد حمله‌ی UDP flood

اگر مهاجم به طور مداوم بسته‌ی ICMP به تعداد زیادی از پورت‌های سرور ارسال کند (انتخاب پورت‌ها می‌تواند تصادفی باشد)،‌ بخش قابل توجهی از توان پردازشی سرور صرف بررسی پورت‌های درخواست شده و ارسال پیام ICMP خواهد شد و در نتیجه نمی‌تواند به درخواست‌های بسیاری از کاربران پاسخ بدهد. گاهی در حمله‌های UDP flood، از source IP تغییر یافته به جای آدرس IP اصلی استفاده می‌شود. در این حالت، هم شناسایی مبدا حمله تا حدی غیرممکن است و هم زمانی که پیام‌های ICMP از سمت سرور ارسال می‌شوند، به IP ‌های دیگری می‌روند و شبکه‌ای که حمله کننده از آن استفاده می‌کند، اشباع نمی‌شود.

 

جلوگیری از حمله‌ی UDP flood

برای جلوگیری از حمله‌ی UDP flood، می‌توان ارسال پیام‌های ICMP را تا حد امکان محدود کرد و حتا در صورت نیاز، این سرویس را روی سرور غیرفعال کرد. پیام‌های ICMP عمومن برای اطلاع‌رسانی وضعیت شبکه استفاده می‌شوند و غیرفعال کردن آن‌ها در شرایط ضروری، تاثیر زیادی بر عملکرد سرویس‌های دیگر ندارد.

استفاده از فایروال هم می‌تواند تا حدی در مقابله با این حمله موثر باشد. می‌توان در زمان حمله، بسته‌هایی را که از پروتکل UDP استفاده می‌کنند، محدود کرد و جلوی ورود آن‌ها را گرفت. البته در شرایطی که حمله بسیار گسترده باشد، پردازش تمام این بسته‌ها می‌تواند از توان فایروال هم خارج باشد و در نتیجه خود فایروال هم مورد حمله قرار بگیرد.

در حالت کلی، می‌توان سرویس‌های غیرضروری که از پروتکل UDP استفاده می‌کنند را غیرفعال کرد و پورت‌های مربوط به آن‌ها را بسته نگه ‌داشت و تنها تعدادی از آن‌ها که ضروری است (مانند پورت 53 برای سرویس DNS) را باز کرد. اگر روی سرور سرویس‌هایی ارایه می‌شوند که الزامن از پورت‌های UDP استفاده می‌کنند، استفاده از یک پروکسی برای بررسی اولیه‌ی بسته‌های UDP دریافت شده هم، می‌تواند بسیار موثر باشد. قابلیت DDoS Protection ابر آروان در چهار سطح مختلف از کسب و کارهای آنلاین در برابر انواع حملات DDoS محافظت می‌کند.