Bei einer UDP-Flood-Attacke handelt es sich um einen Denial-of-Service-Angriff. Wie bei anderen bekannten Flood-Angriffen – Ping-Flood, HTTP-Flood, und SYN-Flood – sendet ein Angreifer in hoher Abfolge ma­ni­pu­lier­te Da­ten­pa­ke­te an das Ziel­sys­tem. Die Absicht besteht darin, das Ziel zu über­las­ten, bis dieses legitime Anfragen nicht mehr be­ant­wor­ten kann. Ist dieser Zustand erreicht, kommt der ei­gent­li­che Service zum Erliegen.

Was ist eine UDP-Flood-Attacke?

Bei der UDP-Flood handelt es sich um eine so­ge­nann­te vo­lu­me­tri­sche DoS-Attacke: Wie bei der Ping-Flood beruht das Wirk­prin­zip darauf, das Ziel­sys­tem mit einem hohen Volumen des ein­ge­hen­den Da­ten­stroms zu über­las­ten. Die UDP-Flood un­ter­schei­det sich damit sowohl vom Ping of Death, der das Ziel­sys­tem durch Ausnutzen eines Spei­cher­feh­lers zum Absturz bringt, als auch von der SYN-Flood, die Res­sour­cen auf dem Server bindet. Alle genannten DoS-Attacken haben gemeinsam, das Ziel zu über­las­ten und somit der legitimen Nutzung zu entziehen.

Ins Interesse der Öf­fent­lich­keit rückte die UDP-Flood im Zuge spek­ta­ku­lä­rer Hacking-Angriffe auf globale Or­ga­ni­sa­tio­nen. Außer der Sci­en­to­lo­gy-Kirche wurden Un­ter­neh­men aus der Medien- und Fi­nanz­bran­che an­ge­grif­fen. Die be­trof­fe­nen Websites und Services brachen unter der ein­ge­hen­den Datenflut zusammen und waren für ihre Nutzer teils stun­den­lang nicht er­reich­bar. Bei diesen Angriffen kam das mächtige Tool Low Orbit Ion Cannon (LOIC) als Waffe zum Einsatz, um die UDP-Flood aus­zu­lö­sen.

Funk­ti­ons­wei­se der UDP-Flood-Attacke erklärt

Die Funk­ti­ons­wei­se der UDP-Flood-Attacke basiert auf den Be­son­der­hei­ten des ver­wen­de­ten User Datagram Protocol (UDP) . Geht auf einem Server ein UDP-Paket ein, überprüft das Be­triebs­sys­tem den an­ge­ge­be­nen Port auf lau­schen­de Ap­pli­ka­tio­nen. Wird keine App gefunden, muss der Server den Absender darüber in­for­mie­ren. Da es sich bei UDP um ein ver­bin­dungs­lo­ses Protokoll handelt, nutzt der Server das Internet Control Message Protocol (ICMP), um den Absender darüber zu in­for­mie­ren, dass das Paket nicht zu­ge­stellt werden konnte.

Im Fall einer UDP-Flood-Attacke ergibt sich der folgende Ablauf:

  1. Ein Angreifer sendet UDP-Pakete mit gespoof­ter IP-Ab­sen­der­adres­se an zufällige Ports des Ziel­sys­tems.
     
  2. Auf der Seite des Ziel­sys­tems muss für jedes ein­ge­hen­de Paket der folgende Prozess wie­der­holt werden:
    1. Über­prü­fen, ob auf dem im UDP-Paket an­ge­ge­be­nen Port eine Ap­pli­ka­ti­on lauscht; da es sich um einen zufällig gewählten Port handelt, ist dies in der Regel nicht der Fall.
    2. Versenden eines ICMP-„De­sti­na­ti­on Un­re­acha­ble“-Paket an den ver­meint­li­chen Absender; da die IP-Adresse gespooft wurde, gehen diese Pakete für ge­wöhn­lich bei einem Un­be­tei­lig­ten ein.
Bild: UDP-Flood Funktionsweise
Der Angreifer über­las­tet das Opfer mit einer Flut von UDP-Da­ten­pa­ke­ten.

Ab­wehr­maß­nah­men zum Schutz vor UDP-Flood-Attacken

Eine vo­lu­me­tri­sche Netz­wer­k­at­ta­cke fällt durch einen plötzlich auf­tre­ten­den „Spike“ im Volumen des ein­ge­hen­den Netz­werk­ver­kehrs auf. Der Netz­werk­ver­kehr un­ter­liegt rou­ti­ne­mä­ßi­ger Be­ob­ach­tung durch Netz­werk­an­bie­ter und andere spe­zia­li­sier­te Akteure. So können bei Anzeichen eines Angriffs Schritte zur Scha­dens­mi­ni­mie­rung ein­ge­lei­tet werden.

Zu den Maßnahmen, die ef­fek­ti­ven Schutz vor UDP-Flood-Attacken bieten, zählen ins­be­son­de­re die folgenden:

  • Durch­satz­be­gren­zung der ICMP-Antworten pro Zeit­ein­heit: Diese Li­mi­tie­rung der ICMP-Antworten findet nor­ma­ler­wei­se auf Ebene des Be­triebs­sys­tems statt.
     
  • Filterung auf Firewall-Ebene auf dem Server: So können ver­däch­ti­ge Pakete verworfen werden. Jedoch kann die Firewall unter der Last einer UDP-Flood-Attacke ebenfalls zu­sam­men­bre­chen.
     
  • Filtern von UDP-Paketen außer für DNS auf Netzwerk-Ebene: DNS-Abfragen laufen nor­ma­ler­wei­se über UDP ab. Jegliche andere Quelle, die mas­sen­wei­se UDP-Verkehr erzeugt, wird bei dieser Maßnahme als ver­däch­tig ein­ge­stuft. Die be­tref­fen­den Pakete werden verworfen.

Um einen akut ab­lau­fen­den Angriff ab­zu­schwä­chen, greifen Server-Betreiber auch auf spe­zia­li­sier­te Cloud-Services wie Cloud­fla­re zurück. Diese verteilen den Netz­werk­ver­kehr auf eine Vielzahl global ver­teil­ter Da­ten­cen­ter. Dadurch steht mehr Band­brei­te bereit, um im Falle eines Angriffs das Volumen des ein­ge­hen­den Da­ten­stroms besser ab­zu­puf­fern. Ferner erfolgt stan­dard­mä­ßig eine Filterung des Da­ten­stroms, um ver­schie­de­ne Angriffe bereits in der Ent­wick­lung zu un­ter­bin­den.

Zum Hauptmenü