¿Qué es un ataque DDoS de inundación de QUIC? | Ataques de inundación de QUIC y UDP

QUIC es un protocolo de transporte relativamente nuevo. En un ataque DDoS por inundación de QUIC, un atacante se dirige a un servidor con una cantidad abrumadora de tráfico QUIC.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Entender cómo funciona QUIC
  • Más información sobre cómo los atacantes pueden realizar un abuso de QUIC en un ataque DDoS
  • Comparar los ataques de inundación de QUIC con los de UDP

Copiar enlace del artículo

¿Qué es el protocolo QUIC?

El protocolo QUIC es una nueva forma de enviar datos por Internet que es más rápida, eficiente y segura que los protocolos anteriores. QUIC es un protocolo de transporte, lo que significa que afecta a la forma en la que se mueven los datos por Internet. Como casi cualquier protocolo de Internet, QUIC puede ser utilizado de forma maliciosa para llevar a cabo ataques DDoS.

En términos más técnicos, el protocolo QUIC es un protocolo de la capa de transporte que, en teoría, puede sustituir tanto al TCP (un protocolo de transporte) como al TLS (un protocolo de encriptación). En julio de 2019, en torno al 3 % de todos los sitios web utilizaban QUIC, y los promotores del protocolo, incluido Cloudflare, esperan que las tasas de adopción sigan aumentando con el tiempo. La última versión del protocolo HTTP , HTTP/3, funciona sobre QUIC.

¿Cómo funciona el protocolo QUIC?

El protocolo QUIC pretende ser más rápido y seguro que las conexiones tradicionales de Internet. Para aumentar la velocidad utiliza el protocolo de transporte UDP, que es más rápido que TCP, pero menos fiable. Envía varios flujos de datos a la vez para compensar los datos que se pierden por el camino, una técnica conocida como multiplexación.

Para una mejor seguridad, todo lo que se envía a través de QUIC se encripta automáticamente. Normalmente, los datos tienen que ser enviados a través de HTTPS para ser encriptados. Pero QUIC incorpora la encriptación TLS en el proceso de comunicación normal.

Esta encriptación incorporada acelera todavía más el protocolo. En el típico HTTPS, hay que completar un protocolo de enlace TCP de tres vías en la capa de transporte antes de que pueda comenzar el protocolo de enlace TLS de varios pasos. Todo esto se tiene que producir antes de que cualquier dato real pueda ser enviado entre cliente y servidor. QUIC combina estos dos protocolos de enlace para que se produzcan a la vez: el cliente y el servidor reconocen que la conexión está abierta, y generan en conjunto las claves de encriptación TLS a la vez.

¿Qué es una inundación de QUIC?

Un ataque DDoS de inundación de QUIC se produce cuando un atacante intenta denegar el servicio al sobrecargar un servidor objetivo con datos enviados a través de QUIC. El servidor atacado tiene que procesar todos los datos QUIC que recibe, lo que ralentiza el servicio de los usuarios legítimos y, en algunos casos, acaba por colapsar el servidor del todo. Los ataques DDoS a través de QUIC son difíciles de bloquear porque:

  • QUIC utiliza UDP, que ofrece al receptor del paquete muy poca información que pueda utilizar para bloquear los paquetes
  • QUIC encripta los datos de los paquetes para que el receptor de los datos no pueda saber con facilidad si estos son legítimos o no

Un ataque de inundación de QUIC puede llevarse a cabo utilizando varios métodos, pero el protocolo QUIC es especialmente vulnerable a los ataques DDoS basados en la reflexión.

¿Qué es un ataque de reflexión de QUIC?

En un ataque DDoS por reflexión, el atacante falsea la dirección IP de la víctima y solicita información a varios servidores. Cuando los servidores responden, toda la información va a parar a la víctima en lugar de al atacante. Imaginemos que alguien, con fines maliciosos, envía cartas con la dirección del remitente de otra persona para que le llegen enormes cantidades de correo no deseado.

Con el protocolo QUIC, es posible realizar ataques de reflexión con el mensaje inicial "hello" que inicia una conexión QUIC. A diferencia de una conexión TCP, una conexión QUIC no se abre con el envío por parte del servidor de un simple mensaje "ACK". Ya que QUIC combina el protocolo de transporte UDP con la encriptación TLS, el servidor incluye su certificado TLS en su primera respuesta al cliente. Esto significa que el primer mensaje del servidor es mucho mayor que el primer mensaje del cliente. Al falsificar la dirección IP de la víctima y enviar un mensaje "hello" a un servidor, el atacante engaña al servidor para que envíe grandes cantidades de datos no deseados a la víctima.

Para mitigar parcialmente este tipo de ataque, los arquitectos del protocolo QUIC establecieron un tamaño mínimo para el mensaje inicial hello del cliente, para que al atacante le cueste un ancho de banda considerable el enviar una gran cantidad de mensajes falsos de hello del cliente. Sin embargo, el hello del servidor sigue siendo mayor que el del cliente, así que un ataque de este tipo sigue siendo una posibilidad.

¿Los ataques de inundación de QUIC son similares a los ataques de inundación de UDP?

Una inundación de UDP es un tipo de ataque DDoS que sobrecarga un servidor objetivo con paquetes UDP no deseados. QUIC utiliza UDP, pero un ataque de inundación de QUIC no es necesariamente lo mismo que uno de UDP.

Una de las formas en que una inundación de UDP puede derribar un servidor objetivo es mediante el envío de paquetes de UDP falsos a un puerto específico de un servidor que no está realmente en uso. El servidor tiene que responder a todos los paquetes con un mensaje de error ICMP, lo que consume potencia de procesamiento y ralentiza el servidor. Este ataque sería posible utilizando QUIC, pero suele ser más barato para el atacante llevarlo a cabo solo a través de UDP, sin la sobrecarga añadida de generar paquetes QUIC.

¿Bloquea Cloudflare los ataques DDoS de inundación de QUIC?

Cloudflare mitiga una gran variedad de ataques DDoS, incluyendo las inundaciones de QUIC. La red global de Cloudflare, que abarca 270 ciudades en más de 100 países, es lo suficientemente grande como para absorber y mitigar incluso los mayores ataques DDoS registrados. Más información sobre los ataques DDoS.

Ventas