UDP Bomb i UDP Flood są atakami, które polegają na wysyłaniu niewłaściwych pakietów (z niewłaściwymi wartościami w odpowiednich polach) lub wysłanie ich w nadmiarze. Opentear wykorzystuje pofragmentowane pakiety UDP i wysyła je z losowo wybranych źródeł (fikcyjnych adresów IP – spoofing) do losowo wybranych portów. Działanie takie może doprowadzić do zawieszenia się systemu operacyjnego. Podatne na niego były komputery z systemami Windows 95/98/NT/2000 oraz OpenBSD 2.3 and 2.4. Aby sprawdzić, jak reaguje serwer na tego typu ruch sieciowy przeprowadziłam prosty atak UDP Flood, który wykonałam z komputera sieci wewnętrznej na serwer – bramę (narzędzia: UDP Flooder 2.0, Spoofed UDP Flooder, SUF). Uruchomienie ataku na domyślnie skonfigurowany serwer spowodowało całkowite zajęcie wolnej pamięci i miejsca na dysku. Na początku w katalogu głównym dysku było 3,5 GB wolnego miejsca, po ok. 20 minutach na dysku było już wolne 500MB (Rysunek 1). W tym czasie sprawdziłam, w jaki sposób wykorzystywane są zasoby podczas ataku (aplikacja Performance Monitor). Serwer był zalewany pakietami z nieistniejących adresów IP.
Rysunek 1. Performance Monitor podczas ataku UDP Flood.
-
Linia czerwona na wykresie to: Czas procesora – mierzony jest % jego wykorzystania
-
Linia zielona na wykresie to: Średnia długość kolejki dysku.
-
Linia niebieska na wykresie to: Liczba stron na sekundę – mierzone jest wykorzystanie pamięci.
Podejrzewam, że administratorzy raczej nie mieliby ochoty oglądać z tej perspektywy swojego serwera. Dynamicznie zmniejszająca się ilość miejsca na dysku oraz 100% pracy procesora przyczyniły się do znacznego obniżenia wydajności , nie spowodowały jednak całkowitego zatrzymania usług (jedynie HTTP 500 Internal Server Error).
