As inundações de ICMP e UDP são comuns porque são fáceis de executar e podem ser muito eficazes na interrupção de uma rede.
Entenda e previna ataques DDoS de inundação de UDP
A inundação de UDP é um tipo de ataque de negação de serviço (DoS) projetado para tornar um sistema, servidor, largura de banda ou máquina indisponível para usuários e solicitações legítimas. Um protocolo sem sessão, as inundações de UDP são altamente eficazes e requerem poucos recursos para serem executadas. Os ataques DoS ou DDoS (negação de serviço distribuído) geralmente fazem parte de ameaças altamente complexas que combinam vários vetores de ataque (também conhecidos como multivetores) para atingir o ambiente de TI de uma organização. Ao contrário dos ataques TCP DDoS, em que os agentes de ameaças utilizam pacotes TCP SYN, os pacotes UDP podem ser fragmentados e causar tantos danos quanto um ataque de inundação de UDP normal.
Proteção contra DDoS, combinando defesas de edge, resiliência de DNS e tecnologia de depuração em nuvem projetada para impedir inundações de UDP e ataques DDoS antes que eles possam alcançar aplicações, data centers e infraestrutura. Ferramentas de hackers como Low Orbit Ion Cannon (LOIC) começaram a simplificar os meios pelos quais os invasores poderiam aproveitar o ataque de inundação de UDP.
Como funciona uma inundação de UDP
O protocolo de rede UDP (User Datagram Protocol, protocolo de datagrama do usuário) permite que aplicativos de computador enviem mensagens ou datagramas para outros hosts por meio de um endereço IP ou rede. Quando um pacote UDP é recebido por um servidor, seu sistema operacional verifica as aplicações relacionadas e, se nenhuma for encontrada, informa o remetente com um pacote de resposta "destino inacessível". Ao contrário da orientação da conexão ou da sessão do TCP, o UDP é um protocolo sem conexão e o servidor usa a resposta ICMP (Internet Control Message Protocol) para fornecer um aviso de que o pacote UDP original não pode ser entregue.
Para iniciar um ataque de inundação de UDP, os invasores enviam grandes quantidades de tráfego UDP com endereços IP falsificados para portas aleatórias em um sistema de destino. Como o sistema deve verificar a porta especificada em cada pacote de entrada para uma aplicação de detecção e emitir uma resposta, o recurso do servidor de destino pode se esgotar rapidamente, tornando-o indisponível para tráfego normal e usuários legítimos. As conexões com a Internet podem facilmente ficar congestionadas e saturadas. Quando os pacotes UDP estão malformados com cargas pequenas de ataque de cabeçalho, isso aumenta as taxas de pacotes por segundo e pode causar falha no hardware nas placas de rede da Internet.
Evitar ataques de inundação de UDP pode ser um desafio. Os sistemas operacionais podem tentar limitar a taxa de resposta dos pacotes ICMP que fazem parte das respostas UDP. Mas essa abordagem é indiscriminada e também pode filtrar o tráfego legítimo. A atenuação de qualquer tipo de DDoS deve ser feita mais distante do data center ou da origem, onde essas ferramentas de ataque são menos eficazes. Os serviços de Internet SIP e VOIP dependem da pilha UDP e são suscetíveis unicamente a esses tipos de ataques. Os ataques de inundação de UDP podem ser gerados a partir de botnets, mas os invasores aproveitam protocolos UDP abertos que refletem e amplificam facilmente ataques a serviços como Web, DNS, SSH, SCP, SSL, TLS e outros recursos hospedados da Internet.
Soluções adicionais de proteção contra DDoS
Juntamente com o Prolexic, a Akamai oferece soluções adicionais para proteção contra DDoS.
App & API Protector
O Akamai App & API Protector é uma aplicação Web holística e arquitetura de proteção de API projetadas para defender toda a Web de TCP e propriedades de API com um foco líder do setor em automação e simplicidade. Essa solução reúne as principais tecnologias, incluindo segurança de API, Web Application Firewall, mitigação de botse proteção contra DDoS. O app & API protetor defende contra diversas ameaças, incluindo ataques DDoS volumétricos, como inundações UDP e inundações ICMP, ataques de injeção e baseados em API, ataques à camada da aplicação, como Slowloris, e ameaças baseadas em protocolo, como ataques TCP fora do estado, inundações SYN ou inundações ACK que exigem que usuários legítimos concluam o handshake tridirecional.
Prolexic
Akamai Prolexic interrompe os ataques de inundação de UDP com um SLA de zero segundo e a defesa mais rápida e eficaz em escala. O Prolexic fornece mitigação oferecida pela nuvem em todas as portas e protocolos para interromper ataques na nuvem antes que eles se tornem eventos que afetem os negócios. Com o Prolexic, o tráfego de rede é entregue a um dos mais de 20 centros globais de depuração de alta capacidade, onde podemos interromper os ataques mais perto da origem para maximizar o desempenho dos usuários e garantir a resiliência da rede por meio da distribuição na nuvem. Em cada centro de depuração, o SOCC (Security Operations Command Center, centro de comando de operações de segurança) da Akamai usa controles de atenuação proativos e/ou personalizados para interromper ataques instantaneamente, retornando o tráfego limpo para a origem do cliente.
Edge DNS
O Akamai Edge DNS é uma solução de DNS baseada em nuvem que utiliza a Akamai Connected Cloud para fornecer acesso a milhares de servidores DNS em mais de 1.000 pontos de presença em todo o mundo. Com o Edge DNS, as organizações não precisam mais depender apenas de dois ou três servidores DNS, uma prática comum que deixa as organizações vulneráveis a interrupções de data center e ataques DDoS. Essa solução da Akamai pode absorver os maiores ataques DDoS enquanto continua respondendo a solicitações legítimas de usuários, melhorando a resiliência e a capacidade de resposta do DNS.
Perguntas frequentes (FAQ)
Uma inundação de UDP é um tipo de ataque de negação de serviço em que agentes mal-intencionados podem falsificar um endereço IP de origem e gerar pacotes UDP (User Datagram Protocol) para um servidor de destino. Quando o servidor não consegue encontrar uma aplicação associada aos pacotes UDP, ele responde com um pacote "destino inacessível". Quando o número de pacotes UDP recebidos e respondidos se torna muito grande para o servidor lidar, o sistema fica sobrecarregado e não pode atender solicitações de clientes e usuários legítimos.
Como um ataque de negação de serviço comum, uma inundação de UDP pode facilmente tornar um servidor ou aplicação indisponível para os usuários. Isso pode resultar rapidamente em uma queda significativa na produtividade, perda de receita, danos à reputação e rotatividade de clientes. Os ataques de inundação de UDP são considerados especialmente perigosos porque não há proteções internas que possam limitar a taxa de uma inundação de UDP, de modo que eles possam ser executados por invasores com poucos recursos.
Uma inundação de UDP é mais perigosa do que uma inundação de TCP porque o UDP é um protocolo sem conexão. Isso significa que não há necessidade de estabelecer uma conexão antes de enviar dados. A inundação de UDP pode facilmente sobrecarregar um servidor com pacotes falsificados.
Por que os clientes escolhem a Akamai
A Akamai potencializa e protege a vida online. As principais empresas do mundo escolhem a Akamai para criar, proporcionar e proteger suas experiências digitais, ajudando bilhões de pessoas a viver, trabalhar e se divertir todos os dias. A Akamai Connected Cloud, uma plataforma de nuvem e edge massivamente distribuída, aproxima os apps e as experiências dos usuários e afasta as ameaças.