Ataque de inundação de protocolo UDP

Uma inundação UDP pode sobrecarregar tanto um servidor quanto o firewall que o protege.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Defina ataque DDoS de inundação UDP
  • Consiga explicar como funciona um ataque de inundação UDP
  • Entenda as várias estratégias de mitigação das inundações UDP

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é um ataque de inundação UDP?

Uma inundação UDP é um tipo de ataque de negação de serviço no qual um grande número de pacotes do Protocolo de Datagrama do Usuário (UDP) são enviados para um servidor visado com o objetivo de sobrecarregar a capacidade desse dispositivo de processar e responder. O firewall que protege o servidor visado também pode ter sua capacidade esgotada em consequência da inundação UDP, resultando em uma negação de serviço para o tráfego legítimo.

Como funciona um ataque de inundação UDP?

Uma inundação UDP funciona principalmente explorando as etapas realizadas por um servidor ao responder a um pacote UDP enviado para uma de suas portas. Em condições normais, quando um servidor recebe um pacote UDP em uma determinada porta, ele passa por duas etapas de resposta:

  1. O servidor primeiro verifica se há algum programa em execução que esteja atualmente escutando solicitações na porta especificada.
  2. Se nenhum programa estiver recebendo pacotes nessa porta, o servidor responde com um pacote ICMP (ping) para informar ao remetente que o destino está inacessível.

Pense em uma inundação UDP como sendo uma recepcionista de hotel que encaminha chamadas. Primeiro, a recepcionista recebe uma chamada telefônica em que o autor da chamada pede para que sua ligação seja encaminhada a um quarto específico. A recepcionista então precisa olhar a lista de todos os quartos para ter certeza de que o hóspede está disponível naquele quarto e disposto a atender a chamada. Caso a recepcionista perceba que o hóspede não está atendendo a nenhuma chamada, ela precisará retornar à ligação do autor da chamada e dizer a ele que o hóspede não atenderá sua ligação. Se de repente todas as linhas telefônicas se iluminarem simultaneamente com solicitações semelhantes, elas rapidamente ficarão sobrecarregadas.

Metáfora do tráfego de bot DDoS

Como cada novo pacote UDP é recebido pelo servidor, ele passa por algumas etapas a fim de processar a solicitação, utilizando recursos do servidor no processo. Quando os pacotes UDP são transmitidos, cada pacote incluirá o endereço de IP do dispositivo de origem. Durante esse tipo de ataque DDoS, geralmente o invasor não usará seu próprio e verdadeiro endereço de IP. Em vez disso, ele falsificará o endereço IP de origem dos pacotes UDP, impedindo que a verdadeira localização do invasor seja exposta e seja saturada com os pacotes de resposta do servidor visado.

Como resultado, o servidor visado, ao utilizar recursos para verificar e depois responder a cada pacote UDP recebido, poderá ter seus recursos esgotados rapidamente quando receber uma grande inundação de pacotes UDP, acarretando uma negação de serviço para o tráfego normal.

Animação de um ataque DDoS de inundação UDP

Como se mitiga um ataque de inundação UDP?

A maioria dos sistemas operacionais limita a taxa de resposta dos pacotes ICMP em parte para interromper os ataques DDoS que precisam de uma resposta ICMP. Uma desvantagem desse tipo de mitigação é que, durante um ataque, pacotes legítimos também podem ser filtrados no processo. Se a inundação UDP tiver um volume suficientemente alto para saturar a tabela de estado do firewall do servidor visado, qualquer mitigação que ocorra no nível do servidor será insuficiente, pois o gargalo ocorrerá a montante do dispositivo alvo.

Como a Cloudflare mitiga os ataques de inundação UDP?

A fim de mitigar o tráfego do ataque UDP antes que este atinja o alvo, a Cloudflare descarta todo o tráfego UDP não relacionado ao DNS na borda de rede. Como a rede Anycast da Cloudflare espalha o tráfego web por vários data centers, temos capacidade suficiente para lidar com ataques de inundação UDP de qualquer tamanho. Saiba mais sobre a Proteção contra DDoS da Cloudflare.