Una inundación UDP puede sobrecargar tanto a un servidor como al firewall que lo protege.
Después de leer este artículo podrás:
Contenido relacionado
Ataque de inundación de DNS
Ataque de inundación SYN
Ataque de inundación HTTP
Ataques DDoS conocidos
Malware
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
Una inundación UDP es un tipo de ataque de denegación de servicio en el que se envía un gran número de paquetes del Protocolo de datagrama de usuarios (UDP) a un servidor objetivo con el fin de sobrecargar la capacidad de ese dispositivo para procesar y responder. El firewall que protege al servidor objetivo también puede verse saturado como resultado de la inundación UDP, lo que provoca una denegación de servicio al tráfico legítimo.
Una inundación UDP funciona básicamente al aprovecharse de los pasos que sigue un servidor cuando responde a un paquete UDP enviado a uno de sus puertos. En condiciones normales, cuando un servidor recibe un paquete UDP en un puerto determinado, realiza dos pasos como respuesta:
Podemos pensar que una inundación UDP es como un recepcionista de hotel que enruta las llamadas. Primero, el recepcionista recibe una llamada telefónica en la que la persona que llama pide que se le pase a una habitación concreta. Entonces, el recepcionista tiene que buscar en la lista de las habitaciones para asegurarse de que el cliente está en la habitación y está dispuesto a atender la llamada. Cuando el recepcionista se da cuenta de que el huésped no atiende a las llamadas, tiene que volver a descolgar el teléfono y decirle a la persona que llama que el huésped no está disponible. Si de repente todas las líneas telefónicas reciben solicitudes similares de forma simultánea, se verán rápidamente desbordadas.
A medida que el servidor recibe cada nuevo paquete UDP, recorre los pasos necesarios para procesar la solicitud, utilizando los recursos del servidor en el proceso. Cuando se transmiten los paquetes UDP, cada paquete incluirá la dirección IP del dispositivo de origen. Durante este tipo de ataque DDoS, lo normal es que el atacante no use su propia dirección IP real, sino que falseará la dirección IP de origen de los paquetes UDP, lo cual impide que la verdadera ubicación del atacante quede expuesta y se vea potencialmente saturada con los paquetes de respuesta del servidor objetivo.
Como resultado de que el servidor objetivo utiliza recursos para comprobar y luego responder a cada paquete UDP recibido, los recursos del objetivo pueden agotarse muy rápido cuando se recibe una gran avalancha de paquetes UDP, lo que provoca una denegación de servicio al tráfico normal.
La mayoría de los sistemas operativos limitan la tasa de respuesta de los paquetes ICMP, en parte para interrumpir los ataques DDoS que requieren una respuesta ICMP. Un inconveniente de este tipo de mitigación es que, durante un ataque, los paquetes legítimos también pueden ser filtrados en el proceso. Si la inundación UDP tiene un volumen lo suficientemente alto como para saturar la tabla de estado del firewall del servidor objetivo, cualquier mitigación que se produzca a nivel del servidor será insuficiente, ya que el cuello de botella se producirá en la parte previa del dispositivo objetivo.
Para mitigar el ataque de tráfico UDP antes de que llegue a su objetivo, Cloudflare elimina todo el tráfico UDP que no esté relacionado con el DNS en el perímetro de la red. Ya que la red Anycast de Cloudflare dispersa el tráfico web en muchos Centros de datos, tenemos capacidad suficiente para manejar ataques de inundación UDP de cualquier tamaño. Más información sobre la protección contra DDoS de Cloudflare.