Die Funktionsweise der UDP-Flood-Attacke basiert auf den Besonderheiten des verwendeten User Datagram Protocol (UDP) . Geht auf einem Server ein UDP-Paket ein, überprüft das Betriebssystem den angegebenen Port auf lauschende Applikationen. Wird keine App gefunden, muss der Server den Absender darüber informieren. Da es sich bei UDP um ein verbindungsloses Protokoll handelt, nutzt der Server das Internet Control Message Protocol (ICMP), um den Absender darüber zu informieren, dass das Paket nicht zugestellt werden konnte.
Im Fall einer UDP-Flood-Attacke ergibt sich der folgende Ablauf:
- Ein Angreifer sendet UDP-Pakete mit gespoofter IP-Absenderadresse an zufällige Ports des Zielsystems.
- Auf der Seite des Zielsystems muss für jedes eingehende Paket der folgende Prozess wiederholt werden:
- Überprüfen, ob auf dem im UDP-Paket angegebenen Port eine Applikation lauscht; da es sich um einen zufällig gewählten Port handelt, ist dies in der Regel nicht der Fall.
- Versenden eines ICMP-„Destination Unreachable“-Paket an den vermeintlichen Absender; da die IP-Adresse gespooft wurde, gehen diese Pakete für gewöhnlich bei einem Unbeteiligten ein.