UDPattaques par réflexion - AWS Meilleures pratiques en matière de DDoS résilience

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

UDPattaques par réflexion

UDPles attaques par réflexion exploitent le fait qu'il UDP s'agit d'un protocole sans état. Les attaquants peuvent créer un paquet de UDP requête valide répertoriant l'adresse IP de la cible de l'attaque comme adresse IP UDP source. L'attaquant a désormais falsifié (usurpé) l'adresse IP source du paquet de requêtes. UDP Le UDP paquet contient l'adresse IP source falsifiée et est envoyé par l'attaquant à un serveur intermédiaire. Le serveur est incité à envoyer ses paquets de UDP réponse à l'adresse IP de la victime ciblée plutôt qu'à l'adresse IP de l'attaquant. Le serveur intermédiaire est utilisé car il génère une réponse plusieurs fois supérieure au paquet de demande, amplifiant ainsi efficacement le volume de trafic d'attaque envoyé à l'adresse IP cible.

Le facteur d'amplification est le rapport entre la taille de la réponse et la taille de la demande, et il varie en fonction du protocole utilisé par l'attaquant : DNS Network Time Protocol (NTP), Simple Service Directory Protocol (SSDP), Connectionless Lightweight Directory Access Protocol (CLDAP), Memcached, Character Generator Protocol (CharGen) ou Quote of the Day (). QOTD

Par exemple, le facteur d'amplification pour DNS peut être de 28 à 54 fois le nombre d'octets d'origine. Ainsi, si un attaquant envoie une charge utile de requête de 64 octets à un DNS serveur, il peut générer plus de 3 400 octets de trafic indésirable vers une cible d'attaque. UDPles attaques par réflexion sont responsables d'un volume de trafic plus important que les autres attaques. La figure suivante illustre la tactique de réflexion et l'effet d'amplification.

Schéma illustrant une attaque par UDP réflexion

Schéma illustrant une attaque par UDP réflexion

Il convient de noter que les attaques par réflexion, bien qu'elles fournissent aux attaquants une amplification « gratuite », nécessitent une fonction d'usurpation d'adresse IP et, à mesure que de plus en plus de fournisseurs de réseaux adoptent la validation des adresses source partout (SAVE) ou que cette fonctionnalité est supprimée BCP38, obligeant les fournisseurs de DDoS services à mettre fin aux attaques par réflexion ou à se relocaliser vers des centres de données et des fournisseurs de réseaux qui ne mettent pas en œuvre la validation de l'adresse source.