Ataque de inundación UDP

Una inundación UDP puede sobrecargar tanto a un servidor como al firewall que lo protege.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir un ataque DDoS de inundación UDP
  • Poder explicar cómo funciona un ataque de inundación UDP
  • Entender varias estrategias de mitigación para las inundaciones UDP

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es un ataque de inundación UDP?

Una inundación UDP es un tipo de ataque de denegación de servicio en el que se envía un gran número de paquetes del Protocolo de datagrama de usuarios (UDP) a un servidor objetivo con el fin de sobrecargar la capacidad de ese dispositivo para procesar y responder. El firewall que protege al servidor objetivo también puede verse saturado como resultado de la inundación UDP, lo que provoca una denegación de servicio al tráfico legítimo.

¿Cómo funciona un ataque de inundación de UDP?

Una inundación UDP funciona básicamente al aprovecharse de los pasos que sigue un servidor cuando responde a un paquete UDP enviado a uno de sus puertos. En condiciones normales, cuando un servidor recibe un paquete UDP en un puerto determinado, realiza dos pasos como respuesta:

  1. El servidor comprueba primero si se está ejecutando algún programa que esté escuchando solicitudes en el puerto especificado.
  2. Si ningún programa recibe paquetes en ese puerto, el servidor responde con un paquete ICMP (ping) para informar al remitente de que no se podía alcanzar el destino.

Podemos pensar que una inundación UDP es como un recepcionista de hotel que enruta las llamadas. Primero, el recepcionista recibe una llamada telefónica en la que la persona que llama pide que se le pase a una habitación concreta. Entonces, el recepcionista tiene que buscar en la lista de las habitaciones para asegurarse de que el cliente está en la habitación y está dispuesto a atender la llamada. Cuando el recepcionista se da cuenta de que el huésped no atiende a las llamadas, tiene que volver a descolgar el teléfono y decirle a la persona que llama que el huésped no está disponible. Si de repente todas las líneas telefónicas reciben solicitudes similares de forma simultánea, se verán rápidamente desbordadas.

Metáfora del tráfico de bots DDoS

A medida que el servidor recibe cada nuevo paquete UDP, recorre los pasos necesarios para procesar la solicitud, utilizando los recursos del servidor en el proceso. Cuando se transmiten los paquetes UDP, cada paquete incluirá la dirección IP del dispositivo de origen. Durante este tipo de ataque DDoS, lo normal es que el atacante no use su propia dirección IP real, sino que falseará la dirección IP de origen de los paquetes UDP, lo cual impide que la verdadera ubicación del atacante quede expuesta y se vea potencialmente saturada con los paquetes de respuesta del servidor objetivo.

Como resultado de que el servidor objetivo utiliza recursos para comprobar y luego responder a cada paquete UDP recibido, los recursos del objetivo pueden agotarse muy rápido cuando se recibe una gran avalancha de paquetes UDP, lo que provoca una denegación de servicio al tráfico normal.

Animación de ataque DDoS de inundación de UDP

¿Cómo se mitiga un ataque de inundación de UDP?

La mayoría de los sistemas operativos limitan la tasa de respuesta de los paquetes ICMP, en parte para interrumpir los ataques DDoS que requieren una respuesta ICMP. Un inconveniente de este tipo de mitigación es que, durante un ataque, los paquetes legítimos también pueden ser filtrados en el proceso. Si la inundación UDP tiene un volumen lo suficientemente alto como para saturar la tabla de estado del firewall del servidor objetivo, cualquier mitigación que se produzca a nivel del servidor será insuficiente, ya que el cuello de botella se producirá en la parte previa del dispositivo objetivo.

¿Cómo mitiga Cloudflare los ataques de inundación de UDP?

Para mitigar el ataque de tráfico UDP antes de que llegue a su objetivo, Cloudflare elimina todo el tráfico UDP que no esté relacionado con el DNS en el perímetro de la red. Ya que la red Anycast de Cloudflare dispersa el tráfico web en muchos Centros de datos, tenemos capacidad suficiente para manejar ataques de inundación UDP de cualquier tamaño. Más información sobre la protección contra DDoS de Cloudflare.