Uma inundação UDP pode sobrecarregar tanto um servidor quanto o firewall que o protege.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Ataque de inundação de DNS
Ataque de inundação SYN
ataque de inundação de HTTP
ataques DDoS famosos
Malware
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
Uma inundação UDP é um tipo de ataque de negação de serviço no qual um grande número de pacotes do Protocolo de Datagrama do Usuário (UDP) são enviados para um servidor visado com o objetivo de sobrecarregar a capacidade desse dispositivo de processar e responder. O firewall que protege o servidor visado também pode ter sua capacidade esgotada em consequência da inundação UDP, resultando em uma negação de serviço para o tráfego legítimo.
Uma inundação UDP funciona principalmente explorando as etapas realizadas por um servidor ao responder a um pacote UDP enviado para uma de suas portas. Em condições normais, quando um servidor recebe um pacote UDP em uma determinada porta, ele passa por duas etapas de resposta:
Pense em uma inundação UDP como sendo uma recepcionista de hotel que encaminha chamadas. Primeiro, a recepcionista recebe uma chamada telefônica em que o autor da chamada pede para que sua ligação seja encaminhada a um quarto específico. A recepcionista então precisa olhar a lista de todos os quartos para ter certeza de que o hóspede está disponível naquele quarto e disposto a atender a chamada. Caso a recepcionista perceba que o hóspede não está atendendo a nenhuma chamada, ela precisará retornar à ligação do autor da chamada e dizer a ele que o hóspede não atenderá sua ligação. Se de repente todas as linhas telefônicas se iluminarem simultaneamente com solicitações semelhantes, elas rapidamente ficarão sobrecarregadas.
Como cada novo pacote UDP é recebido pelo servidor, ele passa por algumas etapas a fim de processar a solicitação, utilizando recursos do servidor no processo. Quando os pacotes UDP são transmitidos, cada pacote incluirá o endereço de IP do dispositivo de origem. Durante esse tipo de ataque DDoS, geralmente o invasor não usará seu próprio e verdadeiro endereço de IP. Em vez disso, ele falsificará o endereço IP de origem dos pacotes UDP, impedindo que a verdadeira localização do invasor seja exposta e seja saturada com os pacotes de resposta do servidor visado.
Como resultado, o servidor visado, ao utilizar recursos para verificar e depois responder a cada pacote UDP recebido, poderá ter seus recursos esgotados rapidamente quando receber uma grande inundação de pacotes UDP, acarretando uma negação de serviço para o tráfego normal.
A maioria dos sistemas operacionais limita a taxa de resposta dos pacotes ICMP em parte para interromper os ataques DDoS que precisam de uma resposta ICMP. Uma desvantagem desse tipo de mitigação é que, durante um ataque, pacotes legítimos também podem ser filtrados no processo. Se a inundação UDP tiver um volume suficientemente alto para saturar a tabela de estado do firewall do servidor visado, qualquer mitigação que ocorra no nível do servidor será insuficiente, pois o gargalo ocorrerá a montante do dispositivo alvo.
A fim de mitigar o tráfego do ataque UDP antes que este atinja o alvo, a Cloudflare descarta todo o tráfego UDP não relacionado ao DNS na borda de rede. Como a rede Anycast da Cloudflare espalha o tráfego web por vários data centers, temos capacidade suficiente para lidar com ataques de inundação UDP de qualquer tamanho. Saiba mais sobre a Proteção contra DDoS da Cloudflare.