UDP là gì?
Một cuộc tấn công Flood UDP là một tấn công từ chối dịch vụ (DoS) tấn công bằng cách sử dụng User Datagram Protocol (UDP), một sessionless / phi kết nối giao thức mạng máy tính.
Dùng UDP để tấn công từ chối dịch vụ tấn công này là không đơn giản như với các Transmission Control Protocol (TCP). Tuy nhiên, một cuộc tấn công lũ UDP có thể được bắt đầu bằng cách gửi một số lượng lớn các gói tin UDP tới cổng ngẫu nhiên trên một máy chủ từ xa.
Kết quả là, các máy chủ ở xa sẽ:
– Kiểm tra các ứng dụng với cổng;
– Thấy rằng không có ứng dụng nghe ở cổng;
– Trả lời với một ICMP Destination Unreachable gói.
Như vậy, đối với một số lượng lớn các gói tin UDP, hệ thống nạn nhân sẽ bị buộc nhận nhiều gói tin ICMP, cuối cùng dẫn nó là không thể truy cập bởi các khách hàng khác. Những kẻ tấn công cũng có thể giả mạo địa chỉ IP của gói tin UDP, đảm bảo rằng ICMP gói trở lại quá mức không tiếp cận họ, và nặc danh hóa vị trí mạng của họ. Hầu hết các hệ điều hành giảm nhẹ một phần của cuộc tấn công bằng cách hạn chế tốc độ phản ứng ICMP được gửi đi.
Phần mềm như Orbit Ion Cannon thấp và UDP Unicorn có thể được sử dụng để thực hiện các cuộc tấn công ddos UDP.Cuộc tấn công này có thể được quản lý bằng cách triển khai tường lửa tại các điểm chính trong một mạng lưới để lọc ra các lưu lượng mạng không mong muốn.
Các nạn nhân tiềm năng không bao giờ nhận được và không bao giờ đáp ứng các gói tin UDP độc hại bởi vì các bức tường lửa ngăn họ lại, tuy nhiên như Firewall có thể chặn gói tin, tức là chỉ có thể tổ chức một số phiên hoạt động, Tường lửa có thể cũng dễ bị ddos tấn công.
Thực trạng vấn đề tấn công UDP ngày càng gia tăng
Tấn công ngập lụt (Flood Attacks) bằng UDP chiếm 49% tổng số vụ tấn công DDoS trong quý vừa qua. Đây là thông tin được đưa ra từ Báo cáo Xu hướng Tấn công DDoS Quý 3 năm 2016 được Verisign công bố mới đây.
Theo đó, Verisign cho biết: Các vụ tấn công ngập lụt sử dụng Giao thức gói dữ liệu người dùng (User Datagram Protocol – UDP) tiếp tục chiếm ưu thế trong Quý 3 năm 2016, chiếm 49% tổng số vụ tấn công trong quý này. Những vụ tấn công ngập lụt bằng UDP phổ biến nhất đã được giảm thiểu là các vụ tấn công phản hồi qua Hệ thống tên miền (Domain Name System – DNS), tiếp đến là qua Giao thức đồng bộ thời gian mạng (Network Time Protocol – NTP).
Đợt tấn công ngập lụt cường độ cao nhất trong Quý 3 năm 2016 là TCP SYN flood đạt đỉnh điểm khoảng 60 Gigabit mỗi giây (Gbps) và 150 triệu gói tin mỗi giây (Mpps). Vụ tấn công ngập lụt này là một trong những vụ tấn công có lượng gói tin truyền đi mỗi giây cao nhất mà Verisign từng quan sát được, vượt qua cả vụ tấn công trước đạt 125 Mpps đã được giảm thiểu bởi Verisign trong Quý 4 năm 2015.
Vụ tấn công lớn nhất trong Quý 3 năm 2016 đã tận dụng giao thức (IP protocol 47) Mã hóa Định tuyến (Generic Routing Encapsulation – GRE) và đạt đỉnh điểm lên đến 250+ Gbps và 50+ Mpps. Đây là lần đầu tiên Verisign quan sát được loại hình tấn công này trên cơ sở dữ liệu khách hàng của hãng.
Đây là thông tin mà Bộ phận Dịch vụ Phòng chống DDoS và Bộ phận Dịch vụ An ninh Thông tin của Verisign đã thực hiện, dựa trên các dữ liệu trực tuyến về các vụ tấn công từ chối dịch vụ phân tán (DDoS).
Bên cạnh đó, Báo cáo Xu hướng Tấn công DDoS Quý 3 năm 2016 của Verisign cũng cho thấy một số thông tin quan trọng khác. Cụ thể là:
– Mức tấn công đỉnh điểm trung bình trong năm 2016 tiếp tục có xu hướng gia tăng so với những năm trước. Mức tấn công đỉnh điểm trung bình trong Quý 3 năm 2016 đạt 12,78 Gbps, tăng 82% so với cùng kỳ năm ngoái.
– 41% các vụ tấn công DDoS tận dụng 3 hoặc nhiều loại hình tấn công khác nhau.
– Dịch vụ CNTT/Đám mây/SaaS, chiếm 37% trong tổng số hoạt động giảm thiểu, vẫn là các lĩnh vực bị nhắm đến thường xuyên nhất trong vòng 8 quý vừa qua, theo sau là lĩnh vực tài chính, chiếm 29%.
(Tổng hợp)
