UDP-Flood

Bei einer UDP-Flood-Attacke handelt es sich um einen Denial-of-Service-Angriff. Wie bei anderen bekannten Flood-Angriffen – Ping-Flood, HTTP-Flood, und SYN-Flood – sendet ein Angreifer in hoher Abfolge manipulierte Datenpakete an das Zielsystem. Die Absicht besteht darin, das Ziel zu überlasten, bis dieses legitime Anfragen nicht mehr beantworten kann. Ist dieser Zustand erreicht, kommt der eigentliche Service zum Erliegen.

Bei der UDP-Flood handelt es sich um eine sogenannte volumetrische DoS-Attacke: Wie bei der Ping-Flood beruht das Wirkprinzip darauf, das Zielsystem mit einem hohen Volumen des eingehenden Datenstroms zu überlasten. Die UDP-Flood unterscheidet sich damit sowohl vom Ping of Death, der das Zielsystem durch Ausnutzen eines Speicherfehlers zum Absturz bringt, als auch von der SYN-Flood, die Ressourcen auf dem Server bindet. Alle genannten DoS-Attacken haben gemeinsam, das Ziel zu überlasten und somit der legitimen Nutzung zu entziehen.

Ins Interesse der Öffentlichkeit rückte die UDP-Flood im Zuge spektakulärer Hacking-Angriffe auf globale Organisationen. Außer der Scientology-Kirche wurden Unternehmen aus der Medien- und Finanzbranche angegriffen. Die betroffenen Websites und Services brachen unter der eingehenden Datenflut zusammen und waren für ihre Nutzer teils stundenlang nicht erreichbar. Bei diesen Angriffen kam das mächtige Tool Low Orbit Ion Cannon (LOIC) als Waffe zum Einsatz, um die UDP-Flood auszulösen.

Eine volumetrische Netzwerkattacke fällt durch einen plötzlich auftretenden „Spike“ im Volumen des eingehenden Netzwerkverkehrs auf. Der Netzwerkverkehr unterliegt routinemäßiger Beobachtung durch Netzwerkanbieter und andere spezialisierte Akteure. So können bei Anzeichen eines Angriffs Schritte zur Schadensminimierung eingeleitet werden.

Zu den Maßnahmen, die effektiven Schutz vor UDP-Flood-Attacken bieten, zählen insbesondere die folgenden:

• Durchsatzbegrenzung der ICMP-Antworten pro Zeiteinheit: Diese Limitierung der ICMP-Antworten findet normalerweise auf Ebene des Betriebssystems statt.
   
• Filterung auf Firewall-Ebene auf dem Server: So können verdächtige Pakete verworfen werden. Jedoch kann die Firewall unter der Last einer UDP-Flood-Attacke ebenfalls zusammenbrechen.
   
• Filtern von UDP-Paketen außer für DNS auf Netzwerk-Ebene: DNS-Abfragen laufen normalerweise über UDP ab. Jegliche andere Quelle, die massenweise UDP-Verkehr erzeugt, wird bei dieser Maßnahme als verdächtig eingestuft. Die betreffenden Pakete werden verworfen.

Um einen akut ablaufenden Angriff abzuschwächen, greifen Server-Betreiber auch auf spezialisierte Cloud-Services wie Cloudflare zurück. Diese verteilen den Netzwerkverkehr auf eine Vielzahl global verteilter Datencenter. Dadurch steht mehr Bandbreite bereit, um im Falle eines Angriffs das Volumen des eingehenden Datenstroms besser abzupuffern. Ferner erfolgt standardmäßig eine Filterung des Datenstroms, um verschiedene Angriffe bereits in der Entwicklung zu unterbinden.