¿Qué es un ataque DDoS de inundación QUIC?

Una inundación QUIC es un ataque distribuido de denegación de servicio (DDoS) que pretende saturar un servidor objetivo con datos enviados a través del protocolo QUIC. Debido a que utiliza recursos que procesan grandes volúmenes de datos QUIC, el servidor objetivo experimenta un rendimiento más lento y, finalmente, puede bloquearse. Los ataques de inundación QUIC son difíciles de mitigar porque utilizan paquetes UDP, los cuales ofrecen muy pocos detalles que pueda utilizar el servidor objetivo para bloquear el ataque. Las inundaciones QUIC también cifran los datos de los paquetes, lo que dificulta determinar si un paquete es legítimo o no.

En un ataque DDoS, un atacante intenta interrumpir o bloquear un servidor, sitio web o red saturándolo con enormes cantidades de tráfico no deseado o ilegítimo. Para ello, los atacantes utilizan una botnet, una recopilación de miles o millones de dispositivos que han sido infectados con malware, lo que permite al atacante controlarlos. Cuando los atacantes ordenan a estos equipos afectados que envíen grandes volúmenes de tráfico a un dispositivo objetivo, el dispositivo acabará agotando sus recursos o utilizará todas sus conexiones para procesar o responder al tráfico malicioso. Como resultado, el dispositivo puede bloquearse o experimentar un rendimiento más lento, lo que hace que no esté disponible para responder al tráfico y a los usuarios legítimos.

QUIC es un nuevo protocolo de transporte cifrado y orientado a la conexión desarrollado por Google que ha sido diseñado para permitir conexiones a Internet más rápidas y seguras. Se trata de un posible sustituto del protocolo de transporte TCP y los protocolos de cifrado TLS. Basado en el Protocolo de datagramas de usuario (UDP), QUIC está diseñado como un protocolo de transporte de baja latencia para aplicaciones y servicios que necesitan conexiones online rápidas. Para facilitar unas conexiones online más rápidas, QUIC sustituye el lento protocolo de negociación TLS en tres pasos (que se utiliza para establecer una conexión TLS) por un único protocolo de negociación. QUIC utiliza la multiplexación para enviar varios flujos de datos a la vez, lo cual reduce la latencia provocada por una posible pérdida de datos y la lógica de solicitud/respuesta HTTP tradicional. QUIC cifra automáticamente todos los datos integrando el cifrado TLS en el proceso de comunicación estándar.

El protocolo QUIC es especialmente vulnerable a los ataques DDoS que utilizan la reflexión. Esta técnica implica falsificar la dirección IP del servidor objetivo cuando se solicita información desde varios servidores. Cuando los servidores responden, todos los datos se desplazan al sistema objetivo en lugar de a los dispositivos de los atacantes. En un ataque de reflexión QUIC, los atacantes utilizan el mensaje "hello", que inicia una conexión QUIC. Dado que el protocolo QUIC combina el protocolo de transporte UDP con el cifrado TLS, el servidor objetivo debe incluir su certificado TLS en la respuesta, lo que da como resultado una primera respuesta inicial mucho mayor que el primer mensaje del atacante. Cuando esto se multiplica por grandes volúmenes de respuestas, el servidor objetivo puede saturarse con grandes cantidades de datos no deseados.

Los ataques de inundación QUIC pueden interrumpir significativamente las operaciones empresariales, especialmente las que dependen en gran medida de los servicios y las aplicaciones online. Cuando un servidor se ve saturado por una avalancha de datos QUIC, como resultado se puede ralentizar su rendimiento e incluso bloquearse. Esto puede provocar tiempos de inactividad de los sitios web, las aplicaciones y los servicios online, lo que afecta tanto a la productividad como a la experiencia del cliente.

Por ejemplo, las plataformas de comercio electrónico pueden experimentar interrupciones en sus procesos de transacción, lo que puede provocar una pérdida de ventas y el descontento de los clientes. Del mismo modo, los proveedores de servicios online, como las plataformas de streaming o los servicios de software basados en la nube, pueden enfrentarse a interrupciones del servicio que afecten a su base de usuarios y reputación.

Los sectores que dependen en gran medida de Internet para sus operaciones están más expuestos a los ataques de inundación QUIC. Entre ellos se incluyen los sectores del comercio electrónico, las finanzas y la tecnología. Las empresas de comercio electrónico son especialmente vulnerables, ya que todas sus operaciones se realizan online. Un ataque de inundación QUIC exitoso podría causar pérdidas financieras significativas debido a la interrupción de transacciones y a la pérdida de ventas.

El sector financiero, incluidas las empresas de banca online y tecnología financiera (fintech), es otro sector en riesgo. Estas empresas gestionan datos confidenciales de clientes y confían en que sus servicios estén disponibles de forma ininterrumpida. Cualquier interrupción no solo podría provocar pérdidas financieras, sino también dañar la confianza del cliente.

Los ataques de inundación QUIC se pueden ver como una forma de ataque de amplificación, en el que se utiliza una entrada pequeña para generar una salida grande y disruptiva. Explotan el uso del UDP por parte del protocolo QUIC, similar a los protocolos DNS e ICMP, que también son susceptibles a los ataques de amplificación.

La autenticación desempeña un papel crucial en la mitigación de estos ataques. Mediante la verificación del origen del tráfico, las empresas pueden filtrar los paquetes maliciosos. Sin embargo, el cifrado que se utiliza en los ataques de inundación QUIC convierte esta tarea en todo un desafío.

Los ataques DoS, incluidos los ataques de inundación QUIC, tienen como objetivo saturar un sistema con tráfico, lo que hace que deje de estar disponible. Los firewalls pueden ayudar a mitigar estos ataques mediante la supervisión del tráfico entrante y el bloqueo de actividades sospechosas. Sin embargo, la eficacia de los firewalls tradicionales es limitada debido a la naturaleza cifrada del tráfico QUIC. Esto pone de manifiesto la necesidad de medidas de seguridad avanzadas, como los servicios de mitigación de DDoS, que puedan gestionar ataques sofisticados como las inundaciones QUIC.

Los equipos de seguridad pueden prevenir o mitigar los ataques de inundación QUIC siguiendo varias prácticas recomendadas.

• Limitación de frecuencia. Los mecanismos de limitación de frecuencia pueden restringir el número de paquetes QUIC permitidos desde una única dirección IP de origen o subred específica.
• Tamaño mínimo del mensaje de cliente inicial. La definición de un tamaño mínimo para el mensaje de saludo inicial requerirá que los atacantes utilicen cantidades significativas de ancho de banda para enviar mensajes de saludo falsos, lo que podría disuadir a los ataques.
• Servicios de mitigación de DDoS. Los equipos de seguridad pueden contratar un servicio de mitigación de DDoS que ofrezca diversas técnicas de detección y mitigación al tiempo que proporciona acceso a redes lo suficientemente grandes como para absorber los ataques DDoS de mayor envergadura.

Akamai garantiza experiencias digitales seguras a las empresas más importantes del mundo. Al acercar las decisiones, aplicaciones y experiencias a los usuarios, así como al alejar los ataques y las amenazas, permitimos que nuestros clientes y sus redes sean rápidas, inteligentes y seguras.

Nuestras soluciones integrales de protección contra DDoS y DoS proporcionan un enfoque holístico que actúa como primera línea de defensa. Gracias a las estrategias de mitigación específicas en la nube, de DNS distribuido y en el Edge, nuestras tecnologías antiDDoS evitan daños colaterales y puntos únicos de fallo para proporcionar a nuestros clientes una mayor resistencia, capacidad de barrido específica y mayor calidad de mitigación.

App & API Protector proporciona un conjunto integral de potentes protecciones con automatización centrada en el cliente. Aunque esta solución ofrece algunas de las opciones de automatización de seguridad de las aplicaciones más avanzadas disponibles hoy en día, sigue siendo fácil de usar. Un nuevo motor de seguridad adaptable y las tecnologías fundamentales líderes del sector facilitan protección contra DDoS, seguridad de API, mitigación de bots y WAF, en una solución fácil de usar. 

Prolexic detiene los ataques DDoS con la protección más rápida y eficaz a escala. Con un SLA de cero segundos para la defensa contra DDoS, Prolexic reduce proactivamente los ataques a los servicios y personaliza los controles de mitigación relativos al tráfico de red para bloquear las amenazas al instante. Disponer de un SOCC totalmente gestionado complementa sus programas de ciberseguridad existentes y le ayudará a aumentar el tiempo de resolución con experiencias probadas en el sector.

Edge DNS evita las interrupciones del DNS con la mayor plataforma de Edge, lo que permite a las organizaciones contar con una disponibilidad del DNS continua y garantizada. Edge DNS, una solución basada en la nube, garantiza la disponibilidad del DNS ininterrumpida al tiempo que mejora la capacidad de respuesta y la defensa contra los ataques DDoS de mayor tamaño.

• ¿Qué es la protección DoS?
• ¿Qué es un ataque de inundación ICMP?
• ¿Qué es un ataque DDoS de Memcached?
• ¿Qué son los ataques DDoS de inundación SYN?
• ¿Qué es un ataque DDoS de tipo Slowloris?
• ¿Qué es un ataque DDoS de inundación UDP?
• ¿Qué es un ataque DDoS a la capa de aplicaciones?
• ¿Qué es un ataque por amplificación de DNS?
• ¿Qué es un ataque DDoS de SSDP?
• ¿Qué es un ataque DDoS de reflexión CLDAP?