O que é um ataque DDoS de inundação QUIC? | Inundações QUIC e UDP

O QUIC é um protocolo de transporte relativamente novo. Em um ataque DDoS de inundação QUIC, um invasor tem como alvo um servidor com uma quantidade impressionante de tráfego QUIC.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Entender como o QUIC funciona
  • Aprender como os invasores podem abusar do QUIC em um ataque DDoS
  • Comparar inundações QUIC e inundações UDP

Copiar o link do artigo

O que é o protocolo QUIC?

O protocolo QUIC é uma nova maneira de enviar dados pela internet que é mais rápida, mais eficiente e mais segura do que com os protocolos anteriores. O QUIC é um protocolo de transporte, o que significa que afeta a maneira como os dados trafegam pela internet. Como quase qualquer protocolo de internet, o QUIC pode ser usado maliciosamente para realizar ataques DDoS.

Em termos mais técnicos, o protocolo QUIC é um protocolo da camada de transporte que pode, teoricamente, substituir o TCP (um protocolo de transporte ) e o TLS (um protocolo de criptografia). Em julho de 2019, cerca de 3% de todos os sites estavam usando QUIC e os proponentes do protocolo, incluindo a Cloudflare, esperam que as taxas de adoção continuem a aumentar com o tempo. A versão mais recente do protocolo HTTP, HTTP/3 é executada no QUIC.

Como funciona o protocolo QUIC?

O protocolo QUIC visa ser mais rápido e mais seguro do que as conexões tradicionais da internet. Para maior velocidade, ele usa o protocolo de transporte UDP, que é mais rápido do que o TCP, mas menos confiável. Ele envia vários fluxos de dados de uma vez para compensar os dados que se perdem ao longo do caminho, uma técnica conhecida como multiplexação.

Para melhor segurança, tudo o que é enviado pelo QUIC é criptografado automaticamente. Normalmente, os dados precisam ser enviados por meio de HTTPS para serem criptografados. Mas o QUIC integra a criptografia TLS no processo de comunicação normal.

Essa criptografia embutida acelera ainda mais o protocolo. No HTTPS típico, um handshake TCP de três vias deve ser concluído na camada de transporte antes que o handshake TLS de várias etapas possa começar. Tudo isso tem que acontecer antes que qualquer dado real possa ser enviado entre o cliente e o servidor. O QUIC combina esses dois handshakes para que ocorram todos de uma vez: o cliente e o servidor reconhecem que a conexão está aberta e geram em conjunto as chaves de criptografia TLS ao mesmo tempo.

O que é uma inundação QUIC?

Um ataque DDoS de inundação QUIC ocorre quando um invasor tenta negar serviço sobrecarregando um servidor alvo com dados enviados por QUIC. O servidor vitimado tem que processar todos os dados QUIC que recebe, reduzindo o serviço para usuários legítimos e, em alguns casos, travando o servidor por completo. Os ataques DDoS por QUIC são difíceis de bloquear porque:

  • o QUIC usa UDP, que fornece muito poucas informações ao destinatário do pacote para que ele possa usar para bloquear os pacotes
  • O QUIC criptografa os dados do pacote para que o destinatário dos dados não possa dizer facilmente se eles são legítimos ou não

Um ataque de inundação QUIC pode ser executado usando vários métodos, mas o protocolo QUIC é particularmente vulnerável a ataques DDoS baseados em reflexão.

O que é um ataque de reflexão QUIC?

Em um ataque DDoS de reflexão, o invasor falsifica o endereço de IP da vítima e solicita informações de vários servidores. Quando os servidores respondem, todas as informações vão para a vítima e não para o invasor. Imagine alguém enviando cartas maliciosamente com o endereço de remetente de outra pessoa para que a segunda pessoa fique sobrecarregada com correspondência indesejada.

Com o protocolo QUIC, é possível realizar ataques de reflexão usando a mensagem inicial de "saudação" que inicia uma conexão QUIC. Ao contrário de uma conexão TCP, uma conexão QUIC não abre com o servidor enviando uma mensagem simples "ACK". Como o QUIC combina o protocolo de transporte UDP com a criptografia TLS, o servidor inclui seu certificado TLS em sua primeira resposta ao cliente. Isso significa que a primeira mensagem do servidor é muito maior do que a primeira mensagem do cliente. Ao falsificar o endereço de IP da vítima e enviar uma mensagem de "saudação" a um servidor, o invasor engana o servidor para que ele envie grandes quantidades de dados indesejados à vítima.

Para mitigar parcialmente esse tipo de ataque, os arquitetos do protocolo QUIC definiram um tamanho mínimo para a mensagem inicial de saudação do cliente, de modo que custe uma largura de banda considerável para o invasor enviar uma grande quantidade de mensagens falsas de saudação ao cliente. No entanto, a mensagem de saudação do servidor ainda é maior do que a mensagem de saudação do cliente, então um ataque dessa natureza continua sendo uma possibilidade.

As inundações QUIC são semelhantes às inundações UDP?

Uma inundação UDP é um tipo de ataque DDoS que sobrecarrega um servidor alvo com pacotes UDP indesejados. O QUIC usa o UDP, mas uma inundação QUIC não é necessariamente o mesmo que uma inundação UDP.

Uma maneira de uma inundação de UDP desligar um servidor de destino é enviando pacotes UDP falsificados para uma porta específica em um servidor que não está realmente em uso. O servidor deve responder a todos os pacotes com uma mensagem de erro ICMP, o que consome energia de processamento e torna o servidor lento. Esse ataque seria possível usando QUIC, mas normalmente é mais barato para o invasor executá-lo apenas por UDP, sem a sobrecarga de geração de pacotes QUIC.

A Cloudflare bloqueia ataques DDoS de inundação QUIC?

A Cloudflare atenua uma ampla variedade de ataques DDoS, incluindo inundações QUIC. A Rede global da Cloudflare, que abrange 270 cidades em mais de 100 países, é grande o suficiente para absorver e mitigar até mesmo os maiores ataques DDoS já registrados. Saiba mais sobre ataques DDoS.