O que é um ataque de DDoS do tipo inundação de QUIC?

Uma inundação de QUIC é um ataque de DDoS (negação de serviço distribuída) que busca sobrecarregar um servidor alvo com dados enviados pelo protocolo QUIC. À medida que usa recursos que processam grandes volumes de dados QUIC, o servidor visado apresenta desempenho mais lento e pode eventualmente falhar. Os ataques de inundação de QUIC são difíceis de mitigar porque usam pacotes UDP, que oferecem poucos detalhes que o servidor visado pode usar para bloquear o ataque. As inundações de QUIC também criptografam os dados do pacote, dificultando a determinação de se um pacote é legítimo ou não.

Em um ataque de DDoS, um agente de ameaça tenta interromper ou travar um servidor, website ou rede sobrecarregando-o com grandes quantidades de tráfego indesejado ou ilegítimo. Para isso, os invasores usam uma botnet — uma coleção de milhares ou milhões de dispositivos que foram infectados com malware — que permite ao invasor controlá-los. Quando os invasores direcionam essas máquinas comprometidas para enviar grandes volumes de tráfego para um dispositivo visado, o dispositivo acabará esgotando seus recursos ou usando todas as suas conexões para processar ou responder a tráfego mal-intencionado. Como resultado, o dispositivo pode travar ou apresentar um desempenho mais lento, tornando-o indisponível para responder a tráfego e usuários legítimos.

O QUIC é um novo protocolo de transporte criptografado e orientado por conexão desenvolvido pelo Google, projetado para permitir conexões de internet mais rápidas e seguras. É uma substituição potencial para o protocolo de transporte TCP e protocolos de criptografia TLS. Criado com base no UDP (User Datagram Protocol), o QUIC é destinado como um protocolo de transporte de baixa latência para aplicações e serviços que precisam de conexões online rápidas. Para permitir conexões online mais rápidas, o QUIC substitui o demorado handshake TLS tridirecional (usado para estabelecer uma conexão TLS) por um único handshake. O QUIC usa a multiplexação para enviar vários fluxos de dados de uma só vez, reduzindo a latência causada pela possível perda de dados e pela lógica de solicitação/resposta HTTP tradicional. O QUIC criptografa automaticamente todos os dados criando a criptografia TLS no processo de comunicação padrão.

O protocolo QUIC é especialmente vulnerável a ataques de DDoS que usam reflexão. Essa técnica envolve a falsificação do endereço IP do servidor visado ao solicitar informações de vários servidores. Quando os servidores respondem, todos os dados viajam para o sistema alvo em vez dos dispositivos dos invasores. Em um ataque de reflexão de QUIC, os invasores usam a mensagem "hello" que inicia uma conexão QUIC. Como o protocolo QUIC combina o protocolo de transporte UDP com a criptografia TLS, o servidor de destino deve incluir seu certificado TLS em sua resposta, resultando em uma primeira resposta inicial muito maior do que a primeira mensagem do invasor. Quando isso é multiplicado por grandes volumes de respostas, o servidor de destino pode ser sobrecarregado por grandes quantidades de dados indesejados.

Os ataques de inundação de QUIC podem afetar significativamente as operações comerciais, especialmente aquelas que dependem fortemente de serviços e aplicações online. Quando um servidor é sobrecarregado por uma inundação de dados QUIC, ele pode ter um desempenho mais lento e até mesmo falhas. Isso pode resultar em tempo de inatividade em websites, aplicações e serviços online, afetando a produtividade e a experiência do cliente.

Por exemplo, as plataformas de comércio eletrônico podem sofrer interrupções em seus processos de transação, levando a vendas perdidas e clientes insatisfeitos. Da mesma forma, provedores de serviços online, como plataformas de streaming ou serviços de software baseados em nuvem, podem enfrentar interrupções de serviço que afetam sua base de usuários e sua reputação.

Os setores que dependem fortemente da internet para suas operações são mais visados para ataques de inundação de QUIC. Isso inclui os setores de comércio eletrônico, finanças e tecnologia. As empresas de comércio eletrônico são particularmente vulneráveis, pois suas operações são totalmente online. Um ataque de inundação de QUIC bem-sucedido pode levar a perdas financeiras significativas devido a transações interrompidas e vendas perdidas.

O setor financeiro, incluindo empresas de serviços bancários online e fintechs, é outro setor em risco. Essas empresas lidam com dados confidenciais de clientes e dependem de seus serviços estarem disponíveis 24 horas. Qualquer interrupção não só pode levar a perdas financeiras, mas também prejudicar a confiança do cliente.

Os ataques de inundação de QUIC podem ser uma forma de ataque de amplificação, onde uma entrada pequena é usada para gerar uma saída grande e disruptiva. Eles exploram o uso de UDP pelo protocolo QUIC, semelhante aos protocolos DNS e ICMP, que também são suscetíveis a ataques de amplificação.

A autenticação é fundamental para a mitigação desses ataques. Ao verificar a origem do tráfego, as empresas podem filtrar pacotes maliciosos. No entanto, a criptografia usada em ataques de inundação de QUIC torna isso desafiador.

Os ataques de DoS, incluindo ataques de inundação de QUIC, têm como objetivo sobrecarregar um sistema com tráfego, tornando-o indisponível. Os firewalls podem ajudar a mitigar esses ataques monitorando o tráfego de entrada e bloqueando atividades suspeitas. No entanto, a eficácia dos firewalls tradicionais é limitada devido à natureza criptografada do tráfego QUIC. Isso destaca a necessidade de medidas de segurança avançadas, como serviços de mitigação de DDoS, que possam lidar com ataques sofisticados, como inundações de QUIC.

As equipes de segurança podem evitar ou mitigar ataques de inundação de QUIC seguindo várias práticas recomendadas de cibersegurança.

• Limitação de taxa. Os mecanismos de limitação de taxa podem restringir o número de pacotes QUIC permitidos de um único endereço IP de origem ou sub-rede específica.
• Tamanho mínimo da mensagem inicial do cliente. A definição de um tamanho mínimo para a mensagem inicial de "hello" exigirá que os invasores usem quantidades significativas de largura de banda para enviar mensagens falsas de "hello", potencialmente desencorajando ataques.
• Serviços de mitigação de DDoS. As equipes de segurança podem contratar serviços de mitigação de DDoS que ofereçam várias técnicas para mitigação de detecção e, ao mesmo tempo, forneçam acesso a redes grandes o suficiente para absorver os maiores ataques de DDoS.

A Akamai protege e entrega experiências digitais para as maiores empresas do mundo. Mantemos decisões, apps e experiências mais acessíveis aos usuários, assim como evitamos ataques e ameaças, para que nossos clientes e suas redes sejam rápidos, inteligentes e seguros.

Nossas soluções completas de proteção contra DDoS e DoS fornecem uma abordagem holística que serve como a primeira linha de defesa. Com edge dedicada, DNS (Sistema de Nomes de Domínio) distribuído e estratégias de mitigação de nuvem de rede, nossas tecnologias anti-DDoS evitam danos colaterais e pontos únicos de falha para fornecer aos nossos clientes maior resiliência, capacidade de depuração dedicada e maior qualidade de mitigação.

O App & API Protector fornece um conjunto holístico de proteções avançadas com automação focada no cliente. Embora essa solução ofereça algumas das mais avançadas automatizações de segurança de aplicações disponíveis atualmente, ela continua sendo simples de usar. Um novo mecanismo de segurança adaptável e as principais tecnologias líderes do setor permitem a proteção contra DDoS, segurança de APIs, mitigação de bots e um Web Application Firewall em uma solução fácil de usar. 

O Prolexic interrompe ataques de DDoS com a defesa mais rápida e eficaz em escala. Ao oferecer um SLA de zero segundo para defesa contra DDoS, o Prolexic reduz proativamente os serviços de ataque e personaliza os controles de atenuação para o tráfego de rede para bloquear ataques instantaneamente. Ter um SOCC totalmente gerenciado complementa seus programas de cibersegurança existentes e ajudará a aumentar seu tempo de resolução com experiências comprovadas pelo setor.

O Edge DNS impede interrupções de DNS com a maior plataforma de edge, permitindo que as organizações contem com disponibilidade de DNS garantida e ininterrupta. Uma solução baseada em nuvem, o Edge DNS garante disponibilidade de DNS 24 horas por dia, 7 dias por semana, ao mesmo tempo em que melhora a capacidade de resposta e a defesa contra os maiores ataques DDoS.

• O que é proteção contra DoS?
• O que é um ataque de inundação de ICMP?
• O que é um ataque de DDoS do Memcached?
• O que são ataques de DDoS de inundação SYN?
• O que é um ataque de DDoS Slowloris?
• O que é um ataque de DDoS do tipo inundação de UDP?
• O que é um ataque de DDoS de camada de aplicação?
• O que são ataques do tipo amplificação de DNS?
• O que é um ataque de DDoS de SSDP?
• O que é um ataque de DDoS do tipo reflexão de CLDAP?