{"id":14008,"date":"2026-03-05T16:38:04","date_gmt":"2026-03-05T13:38:04","guid":{"rendered":"https:\/\/vasexperts.com\/?p=14008"},"modified":"2026-03-05T17:07:50","modified_gmt":"2026-03-05T14:07:50","slug":"udp-flood-why-terabit-attacks-have-become-the-norm-and-how-to-prepare","status":"publish","type":"post","link":"https:\/\/vasexperts.com\/br\/blog\/security\/udp-flood-why-terabit-attacks-have-become-the-norm-and-how-to-prepare\/","title":{"rendered":"UDP Flood: por que os ataques de terabit se tornaram a norma e como se preparar"},"content":{"rendered":"

O desenvolvimento de servi\u00e7os em nuvem e solu\u00e7\u00f5es IoT sem a devida aten\u00e7\u00e3o \u00e0 seguran\u00e7a da informa\u00e7\u00e3o leva a infec\u00e7\u00f5es por botnets como o Mirai. De acordo com dados da Cloudflare<\/a>, no in\u00edcio de setembro de 2025, v\u00e1rios provedores de servi\u00e7os IoT e servi\u00e7os em nuvem, incluindo o Google Cloud, foram fontes de um ataque UDP Flood com pot\u00eancia de 11,5 Tbps e dura\u00e7\u00e3o de 35 segundos.<\/strong> Isso \u00e9 compar\u00e1vel \u00e0 transmiss\u00e3o cont\u00ednua de 10.000 horas de v\u00eddeo de alta qualidade em apenas meio minuto. Esses ataques demonstram claramente as capacidades dos atacantes: ataques DDoS de centenas de Gbps agora podem ser realizados com esfor\u00e7o m\u00ednimo, causando interrup\u00e7\u00f5es nos neg\u00f3cios por horas ou at\u00e9 dias.<\/p>\r\n\r\n

Qual \u00e9 a for\u00e7a desses ataques e como combat\u00ea-los? Explicamos neste artigo e sugerimos quais medidas devem ser tomadas para mitigar as consequ\u00eancias.<\/p>\r\n\r\n

Como funciona o UDP Flood<\/h2>\r\n

UDP Flood<\/strong> \u00e9 um tipo de ataque DDoS volum\u00e9trico na camada de transporte (L4) da rede, no qual o atacante envia uma grande quantidade de pacotes UDP para portas aleat\u00f3rias ou predefinidas do host de destino.<\/p>\r\n\r\n

Originalmente, o protocolo UDP (User Datagram Protocol) foi projetado como um transporte minimalista sobre IP para aplica\u00e7\u00f5es que n\u00e3o requerem mecanismos de entrega confi\u00e1vel: confirma\u00e7\u00e3o de recebimento, retransmiss\u00f5es ou controle da ordem dos pacotes. Por isso mesmo, um atacante pode continuamente \u201cinundar\u201d o alvo em uma \u00fanica dire\u00e7\u00e3o sem aguardar nenhuma resposta. Essas propriedades tornaram o UDP uma base conveniente para VoIP, streaming de v\u00eddeo e jogos on-line, onde a perda de pacotes individuais n\u00e3o \u00e9 cr\u00edtica.<\/p>\r\n\r\n[important]A lat\u00eancia foi significativamente reduzida com a elimina\u00e7\u00e3o do requisito de estabelecimento de conex\u00e3o. Os atacantes exploraram isso, levando ao m\u00e1ximo os recursos das placas de rede dos hosts infectados. Ao implantar at\u00e9 mesmo uma pequena botnet, \u00e9 poss\u00edvel saturar o canal e derrubar um roteador de borda ou firewall de um operador local.[\/important]\r\n\r\n

Outra caracter\u00edstica do protocolo UDP \u00e9 que o host de destino responde com uma mensagem ICMP de \u201cservi\u00e7o indispon\u00edvel\u201d caso a porta esteja fechada e o ICMP n\u00e3o seja restringido por pol\u00edticas de seguran\u00e7a. Esse processo sobrecarrega o servidor atacado com o processamento da requisi\u00e7\u00e3o, a verifica\u00e7\u00e3o da exist\u00eancia de um servi\u00e7o na porta indicada e a formula\u00e7\u00e3o de uma resposta. A mensagem de resposta tamb\u00e9m carregaria a pr\u00f3pria fonte do ataque, mas os atacantes passaram a utilizar a t\u00e9cnica de IP Spoofing, substituindo o endere\u00e7o IP do remetente no pacote por um endere\u00e7o aleat\u00f3rio. Dessa forma, usando recursos m\u00ednimos, o atacante consegue saturar tanto o canal de comunica\u00e7\u00e3o descendente quanto o ascendente.<\/p>\r\n\r\n

Anteriormente, examinamos em detalhes o SYN Flood<\/a> \u2014 um ataque TCP cl\u00e1ssico voltado ao esgotamento das tabelas de conex\u00f5es e dos recursos da pilha TCP.<\/p>\r\n\r\n

Vamos comparar UDP Flood vs TCP SYN Flood.<\/p>\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n\r\n
Crit\u00e9rio<\/strong><\/td>\r\nUDP Flood<\/strong><\/td>\r\nTCP SYN Flood<\/strong><\/td>\r\n<\/tr>\r\n
Custo computacional do atacante<\/td>\r\nBaixo<\/td>\r\nAlto<\/td>\r\n<\/tr>\r\n
Escalabilidade<\/td>\r\nAlta<\/td>\r\nLimitada pela manuten\u00e7\u00e3o de conex\u00f5es semi-abertas<\/td>\r\n<\/tr>\r\n
Facilidade de falsifica\u00e7\u00e3o de endere\u00e7o IP<\/td>\r\nAlta<\/td>\r\nM\u00e9dia<\/td>\r\n<\/tr>\r\n
Esgotamento de recursos<\/td>\r\nLargura de banda \/ limites de hardware (tabelas TCAM, session tables, CPU do plano de controle) \/ CPU do host de destino<\/td>\r\nN\u00famero de usu\u00e1rios do servi\u00e7o \/ CPU do host de destino<\/td>\r\n<\/tr>\r\n
Impacto sobre o operador<\/td>\r\nAlto<\/td>\r\nBaixo<\/td>\r\n<\/tr>\r\n
M\u00e9todo de detec\u00e7\u00e3o<\/td>\r\nAnomalias no perfil de tr\u00e1fego (PPS\/BPS, assimetria de fluxo, aumento m\u00faltiplo de fontes)<\/td>\r\nPropor\u00e7\u00e3o de pacotes SYN em rela\u00e7\u00e3o ao total (SYN ratio)<\/td>\r\n<\/tr>\r\n
M\u00e9todo de prote\u00e7\u00e3o no host atacado<\/td>\r\nLimita\u00e7\u00e3o de fluxo UDP (Rate-limiting), mecanismos de prote\u00e7\u00e3o de servi\u00e7os (DNS RRL, SIP rate control, QUIC Retry Token)<\/td>\r\nSYN Cookies<\/td>\r\n<\/tr>\r\n<\/tbody>\r\n<\/table>\r\n\r\n

Tipos de UDP Flood<\/h2>\r\n

Saber que um ataque opera na camada de transporte via UDP \u00e9 apenas o primeiro passo. Para uma prote\u00e7\u00e3o eficaz, \u00e9 importante identificar seu tipo espec\u00edfico: o mecanismo, a fonte do tr\u00e1fego e os protocolos de aplica\u00e7\u00e3o envolvidos.<\/strong> Sem isso, as contramedidas podem ser excessivas ou ineficazes. Vejamos as principais variantes de UDP Flood com as quais os operadores de telecomunica\u00e7\u00f5es se deparam com mais frequ\u00eancia.<\/p>\r\n\r\n

UDP Flood via Botnet (non-spoofed)<\/h3>\r\n

Hoje, esse \u00e9 o cen\u00e1rio mais comum. O crescente n\u00famero de dispositivos IoT vulner\u00e1veis, servidores desatualizados e roteadores dom\u00e9sticos cria uma base massiva para botnets. O tr\u00e1fego vem de IPs reais de dispositivos infectados, fazendo com que os pacotes pare\u00e7am leg\u00edtimos e sejam dif\u00edceis de filtrar.<\/p>\r\n\r\n

Os riscos v\u00e3o al\u00e9m da parte atacada: um operador cuja rede contenha assinantes infectados pode se deparar com o estouro das tabelas CG-NAT devido ao maci\u00e7o tr\u00e1fego de sa\u00edda. Como resultado, usu\u00e1rios comuns s\u00e3o prejudicados e o operador se torna de fato um participante involunt\u00e1rio do ataque.<\/p>\r\n\r\n

UDP Flood Cl\u00e1ssico (spoofed)<\/h3>\r\n

Um m\u00e9todo antigo, mas ainda relevante: um fluxo de pacotes UDP \u00e9 gerado com endere\u00e7os de remetente falsificados, frequentemente com utilit\u00e1rios facilmente dispon\u00edveis. O baixo limiar de entrada o torna popular entre atacantes iniciantes.<\/p>\r\n\r\n

Sua preval\u00eancia est\u00e1 diminuindo gradualmente gra\u00e7as \u00e0 implementa\u00e7\u00e3o da filtragem BCP38 e ao surgimento de m\u00e9todos de amplifica\u00e7\u00e3o mais eficazes. No entanto, com filtragem fraca, esse tipo de ataque ainda \u00e9 capaz de saturar os canais.<\/p>\r\n\r\n

Ambos os tipos podem atacar uma \u00fanica porta ou muitas portas aleat\u00f3rias. No segundo caso, o host alvo \u00e9 adicionalmente sobrecarregado com o processamento de respostas ICMP.<\/p>\r\n\r\n

UDP Flood por Reflex\u00e3o (reflection\/amplification)<\/h3>\r\n

Um subtipo especialmente perigoso que utiliza servi\u00e7os refletores abertos. O atacante envia uma pequena requisi\u00e7\u00e3o com o endere\u00e7o falsificado da v\u00edtima, e o servidor retorna uma resposta significativamente maior para a v\u00edtima. O fator de amplifica\u00e7\u00e3o pode chegar a dezenas, centenas e at\u00e9 milhares de vezes, permitindo gerar um tr\u00e1fego enorme com recursos m\u00ednimos do atacante.<\/p>\r\n\r\n

Ataques de Varredura e Multivetoriais<\/h3>\r\n

Qualquer um desses tipos pode ser direcionado n\u00e3o a um \u00fanico host, mas a uma sub-rede inteira \u2014 o chamado carpet bombing, onde o tr\u00e1fego \u00e9 distribu\u00eddo por v\u00e1rios endere\u00e7os e \u00e9 mais dif\u00edcil de detectar. Na pr\u00e1tica, os atacantes frequentemente combinam v\u00e1rios m\u00e9todos simultaneamente, formando ataques multivetoriais que requerem prote\u00e7\u00e3o abrangente.<\/p>\r\n\r\n

Como detectar um UDP Flood<\/h2>\r\n

O primeiro passo para construir uma prote\u00e7\u00e3o \u00e9 aprender a identificar oportunamente qual tipo de ataque atingiu a infraestrutura.<\/p>\r\n\r\n[important]Via de regra, um ataque UDP Flood se manifesta por uma combina\u00e7\u00e3o de sintomas dif\u00edceis de ignorar, caso se saiba o que observar.[\/important]\r\n\r\n

O primeiro e mais evidente sinal \u00e9 um aumento repentino e an\u00f4malo no tr\u00e1fego de entrada.<\/strong> Ao contr\u00e1rio do crescimento org\u00e2nico de carga caracter\u00edstico dos hor\u00e1rios de pico, um ataque aparece como um pico vertical no gr\u00e1fico: o tr\u00e1fego aumenta v\u00e1rias vezes ou por ordens de grandeza em segundos. Ao mesmo tempo, a carga de CPU do roteador de borda ou firewall cresce rapidamente, pois o equipamento \u00e9 obrigado a processar cada pacote recebido.<\/p>\r\n\r\n

Simultaneamente, registra-se degrada\u00e7\u00e3o na qualidade do servi\u00e7o:<\/strong> a lat\u00eancia aumenta, a taxa de perda de pacotes cresce para os usu\u00e1rios leg\u00edtimos, os servi\u00e7os come\u00e7am a responder com lentid\u00e3o ou param de responder. No caso de um ataque ao CG-NAT, o operador recebe reclama\u00e7\u00f5es de assinantes sobre a impossibilidade de estabelecer novas conex\u00f5es \u2014 sinal certo do esgotamento das tabelas de tradu\u00e7\u00e3o.<\/p>\r\n\r\n

Ao analisar o tr\u00e1fego, observa-se um quadro caracter\u00edstico: alta propor\u00e7\u00e3o de pacotes UDP com tamanho m\u00ednimo ou fixo,<\/strong> portas de destino pseudo-aleat\u00f3rias ou claramente repetidas, um n\u00famero anormalmente alto de endere\u00e7os IP \u00fanicos de remetentes (em ataques spoofed) ou, ao contr\u00e1rio, tr\u00e1fego proveniente de determinados ASNs ou regi\u00f5es geogr\u00e1ficas (em ataques de botnet). Em ataques de reflex\u00e3o, o tr\u00e1fego vir\u00e1 de endere\u00e7os de servidores DNS ou NTP p\u00fablicos conhecidos, o que por si s\u00f3 \u00e9 uma anomalia. A lista de servidores vulner\u00e1veis costuma ser distribu\u00edda por plataformas de Threat Intelligence, fornecendo uma lista pronta para bloqueio ou limita\u00e7\u00e3o de fluxo.<\/p>\r\n\r\n

Para a detec\u00e7\u00e3o oportuna de ataques, os operadores de telecomunica\u00e7\u00f5es geralmente utilizam v\u00e1rias fontes de monitoramento.<\/p>\r\n