QUIC es un protocolo de transporte relativamente nuevo. En un ataque DDoS por inundación de QUIC, un atacante se dirige a un servidor con una cantidad abrumadora de tráfico QUIC.
Después de leer este artículo podrás:
Contenido relacionado
Ataque de inundación ACK
Mitigación de ataques DDoS
Cómo lanzar un ataque DDoS | Herramientas para ataques DoS y DDoS
Ataque DDoS basado en memcached
¿Qué es un ataque DDoS?
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El protocolo QUIC es una nueva forma de enviar datos por Internet que es más rápida, eficiente y segura que los protocolos anteriores. QUIC es un protocolo de transporte, lo que significa que afecta a la forma en la que se mueven los datos por Internet. Como casi cualquier protocolo de Internet, QUIC puede ser utilizado de forma maliciosa para llevar a cabo ataques DDoS.
En términos más técnicos, el protocolo QUIC es un protocolo de la capa de transporte que, en teoría, puede sustituir tanto al TCP (un protocolo de transporte) como al TLS (un protocolo de encriptación). En julio de 2019, en torno al 3 % de todos los sitios web utilizaban QUIC, y los promotores del protocolo, incluido Cloudflare, esperan que las tasas de adopción sigan aumentando con el tiempo. La última versión del protocolo HTTP, HTTP/3, funciona sobre QUIC.
El protocolo QUIC pretende ser más rápido y seguro que las conexiones tradicionales de Internet. Para aumentar la velocidad utiliza el protocolo de transporte UDP, que es más rápido que TCP, pero menos fiable. Envía varios flujos de datos a la vez para compensar los datos que se pierden por el camino, una técnica conocida como multiplexación.
Para una mejor seguridad, todo lo que se envía a través de QUIC se encripta automáticamente. Normalmente, los datos tienen que ser enviados a través de HTTPS para ser encriptados. Pero QUIC incorpora la encriptación TLS en el proceso de comunicación normal.
Esta encriptación incorporada acelera todavía más el protocolo. En el típico HTTPS, hay que completar un protocolo de enlace TCP de tres vías en la capa de transporte antes de que pueda comenzar el protocolo de enlace TLS de varios pasos. Todo esto se tiene que producir antes de que cualquier dato real pueda ser enviado entre cliente y servidor. QUIC combina estos dos protocolos de enlace para que se produzcan a la vez: el cliente y el servidor reconocen que la conexión está abierta, y generan en conjunto las claves de encriptación TLS a la vez.
Un ataque DDoS de inundación de QUIC se produce cuando un atacante intenta denegar el servicio al sobrecargar un servidor objetivo con datos enviados a través de QUIC. El servidor atacado tiene que procesar todos los datos QUIC que recibe, lo que ralentiza el servicio de los usuarios legítimos y, en algunos casos, acaba por colapsar el servidor del todo. Los ataques DDoS a través de QUIC son difíciles de bloquear porque:
Un ataque de inundación de QUIC puede llevarse a cabo utilizando varios métodos, pero el protocolo QUIC es especialmente vulnerable a los ataques DDoS basados en la reflexión.
En un ataque DDoS por reflexión, el atacante falsea la dirección IP de la víctima y solicita información a varios servidores. Cuando los servidores responden, toda la información va a parar a la víctima en lugar de al atacante. Imaginemos que alguien, con fines maliciosos, envía cartas con la dirección del remitente de otra persona para que le llegen enormes cantidades de correo no deseado.
Con el protocolo QUIC, es posible realizar ataques de reflexión con el mensaje inicial "hello" que inicia una conexión QUIC. A diferencia de una conexión TCP, una conexión QUIC no se abre con el envío por parte del servidor de un simple mensaje "ACK". Ya que QUIC combina el protocolo de transporte UDP con la encriptación TLS, el servidor incluye su certificado TLS en su primera respuesta al cliente. Esto significa que el primer mensaje del servidor es mucho mayor que el primer mensaje del cliente. Al falsificar la dirección IP de la víctima y enviar un mensaje "hello" a un servidor, el atacante engaña al servidor para que envíe grandes cantidades de datos no deseados a la víctima.
Para mitigar parcialmente este tipo de ataque, los arquitectos del protocolo QUIC establecieron un tamaño mínimo para el mensaje inicial hello del cliente, para que al atacante le cueste un ancho de banda considerable el enviar una gran cantidad de mensajes falsos de hello del cliente. Sin embargo, el hello del servidor sigue siendo mayor que el del cliente, así que un ataque de este tipo sigue siendo una posibilidad.
Una inundación de UDP es un tipo de ataque DDoS que sobrecarga un servidor objetivo con paquetes UDP no deseados. QUIC utiliza UDP, pero un ataque de inundación de QUIC no es necesariamente lo mismo que uno de UDP.
Una de las formas en que una inundación de UDP puede derribar un servidor objetivo es mediante el envío de paquetes de UDP falsos a un puerto específico de un servidor que no está realmente en uso. El servidor tiene que responder a todos los paquetes con un mensaje de error ICMP, lo que consume potencia de procesamiento y ralentiza el servidor. Este ataque sería posible utilizando QUIC, pero suele ser más barato para el atacante llevarlo a cabo solo a través de UDP, sin la sobrecarga añadida de generar paquetes QUIC.
Cloudflare mitiga una gran variedad de ataques DDoS, incluyendo las inundaciones de QUIC. La red global de Cloudflare, que abarca 330 ciudades en más de 120 países, es lo suficientemente grande como para absorber y mitigar incluso los mayores ataques DDoS registrados. Más información sobre los ataques DDoS.
Primeros pasos
Acerca de los ataques DDoS
Ataques DDoS