El llamado UDP flood attack es un ataque de de­ne­ga­ción de servicio. Al igual que con otros ataques de inu­n­da­ción bien conocidos, como el de ping flood, de HTTP flood o de SYN flood, el atacante realiza un envío masivo de paquetes de datos al sistema de destino con la intención de so­bre­ca­r­gar­lo, inu­ti­li­zar­lo e impedir que pueda responder a so­li­ci­tu­des legítimas. Si el sistema alcanza este estado, el servicio se in­te­rru­m­pe.

¿Qué es una UDP flood?

La inu­n­da­ción de UDP o UDP flood es uno de los llamados ataques DoS vo­lu­mé­tri­cos: al igual que el de ping flood, su principio se basa en saturar el sistema de destino con un flujo masivo de datos entrantes. La UDP flood, por lo tanto, es diferente del ping de la muerte, que aprovecha un error de memoria para inu­ti­li­zar el sistema de destino, o de la inu­n­da­ción SYN, que bloquea los recursos del servidor. Todos los ataques DoS me­n­cio­na­dos tienen un objetivo en común: colapsar el sistema de la víctima para impedir que esta pueda hacer un uso legítimo del mismo.

El ataque de UDP flood se dio a conocer al gran público debido a varios ataques es­pe­c­ta­cu­la­res de piratería contra or­ga­ni­za­cio­nes in­te­r­na­cio­na­les. Además de la iglesia de la Cie­n­cio­lo­gía, se vieron afectados varios medios de co­mu­ni­ca­ción y empresas del sector fi­na­n­cie­ro. Bajo la avalancha de datos entrantes que conlleva el ataque, muchos de los sitios web y servicios afectados se co­la­p­sa­ron y, en algunas ocasiones, no es­tu­vie­ron di­s­po­ni­bles para sus usuarios durante horas. Para perpetrar estos ataques, se utilizó la potente he­rra­mie­n­ta Low Orbit Ion Cannon (LOIC), diseñada para des­en­ca­de­nar UDP floods.

¿Cómo se lleva a cabo un ataque de UDP flood?

El pro­ce­di­mie­n­to del ataque de inu­n­da­ción de UDP se basa en las ca­ra­c­te­rí­s­ti­cas pa­r­ti­cu­la­res del protocolo de da­ta­gra­mas de usuario o User Datagram Protocol (UDP). Si un paquete UDP llega a un servidor, el sistema operativo busca apli­ca­cio­nes a la espera en el puerto es­pe­ci­fi­ca­do. Si no se encuentra ninguna apli­ca­ción, el servidor debe informar al remitente. Como el UDP es un protocolo que funciona sin conexión, el servidor utiliza el protocolo de mensajes de control de Internet o ICMP (del inglés Internet Control Message Protocol) para informar al remitente que el paquete no se ha podido entregar.

En el caso de un ataque UDP flood, se produce la siguiente secuencia:

  1. El atacante envía paquetes UDP con una dirección de remitente IP fa­l­si­fi­ca­da a puertos alea­to­rios del sistema de destino.
     
  2. En el lado del sistema de destino, el siguiente proceso debe repetirse para cada paquete entrante:
    1. Comprobar si una apli­ca­ción está a la espera en el puerto es­pe­ci­fi­ca­do en el paquete UDP. Como se trata de un puerto se­le­c­cio­na­do al azar, este no suele ser el caso.
    2. Enviar un paquete ICMP “De­s­ti­na­tion Un­rea­cha­ble” al supuesto remitente. Como la dirección IP se ha fa­l­si­fi­ca­do, estos paquetes suelen ser recibidos por un tercero.
Imagen: Esquema del ataque UDP flood
El atacante satura el sistema de destino mediante el envío masivo de paquetes de datos UDP.

Medidas para pro­te­ge­r­se contra los ataques de UDP flood

Una señal de que estamos siendo víctimas de un ataque vo­lu­mé­tri­co es el aumento repentino del volumen del tráfico entrante de la red. El tráfico de la red es mo­ni­to­rea­do de forma rutinaria por los pro­vee­do­res de la red y otras empresas es­pe­cia­li­za­das. De esta manera, si hay indicios de un ataque, se pueden tomar medidas para minimizar los daños.

Entre las pri­n­ci­pa­les medidas que ofrecen una pro­te­c­ción eficaz contra la inu­n­da­ción UDP se incluyen las si­guie­n­tes:

  • Li­mi­ta­ción de la velocidad de las re­s­pue­s­tas ICMP por unidad de tiempo: esta li­mi­ta­ción de las re­s­pue­s­tas ICMP suele llevarse a cabo en el nivel del sistema operativo.
     
  • Filtrado en el nivel del co­r­ta­fue­gos en el servidor: esto permite descartar paquetes so­s­pe­cho­sos. Sin embargo, el co­r­ta­fue­gos también puede co­la­p­sar­se bajo el volumen de datos de un ataque UDP flood.
     
  • Filtrado de paquetes UDP, excepto en DNS, a nivel de red: las consultas DNS suelen eje­cu­tar­se mediante UDP. Con esta medida, cualquier otra fuente que genere una cantidad masiva de tráfico UDP se co­n­si­de­ra­rá so­s­pe­cho­sa y los paquetes en cuestión se de­s­ca­r­ta­rán.

Para mitigar la po­si­bi­li­dad de sufrir ataques graves, los ope­ra­do­res de se­r­vi­do­res también recurren a servicios en la nube es­pe­cia­li­za­dos como Clou­d­fla­re, que di­s­tri­bu­yen el tráfico de red a una gran cantidad de centros de datos en todo el mundo. Esto permite disponer de más ancho de banda y, de este modo, amo­r­ti­guar mejor el volumen de datos entrante en caso de ataque. Además, el flujo de datos se filtra por defecto para impedir que se lleven a cabo diversos tipos de ataques.

Ir al menú principal