As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Ataques na camada de infraestrutura
<a name="infrastructure-layer-attacks"></a>

 Os ataques mais comuns, DDoS ataques de reflexão e SYN inundações do User Datagram Protocol (UDP), são ataques à *camada de infraestrutura*. Um invasor pode usar qualquer um desses métodos para gerar grandes volumes de tráfego que podem inundar a capacidade de uma rede ou ocupar recursos em sistemas como servidores, firewalls, sistema de prevenção de intrusões (IPS) ou balanceador de carga. Embora esses ataques possam ser fáceis de identificar, para mitigá-los de forma eficaz, você deve ter uma rede ou sistemas que aumentem a capacidade mais rapidamente do que a inundação do tráfego de entrada. Essa capacidade extra é necessária para filtrar ou absorver o tráfego de ataque, liberando o sistema e o aplicativo para responder ao tráfego legítimo de clientes. 

# UDPataques de reflexão
<a name="udp-reflection-attacks"></a>

 UDPataques de reflexão exploram o fato de ser UDP um protocolo sem estado. Os atacantes podem criar um pacote de UDP solicitação válido listando o endereço IP do alvo do ataque como o endereço IP de UDP origem. O atacante agora falsificou — falsificou — o IP de origem do pacote de solicitaçãoUDP. O UDP pacote contém o IP de origem falsificado e é enviado pelo atacante para um servidor intermediário. O servidor é induzido a enviar seus pacotes de UDP resposta para o IP da vítima alvo, em vez de voltar para o endereço IP do atacante. O servidor intermediário é usado porque gera uma resposta várias vezes maior do que o pacote de solicitação, amplificando efetivamente a quantidade de tráfego de ataque enviado ao endereço IP de destino. 

 O fator de amplificação é a proporção entre o tamanho da resposta e o tamanho da solicitação e varia de acordo com o protocolo usado pelo atacante: Network Time Protocol ()DNS, Simple Service Directory Protocol (NTP), Connectionless Lightweight Directory Access Protocol (SSDPCLDAP), [Memcached](https://memcached.org/), Character Generator Protocol (CharGen) ou Quote of the Day (). QOTD 

 Por exemplo, o fator de amplificação para DNS pode ser de 28 a 54 vezes o número original de bytes. Portanto, se um invasor enviar uma carga de solicitação de 64 bytes para um DNS servidor, ele poderá gerar mais de 3400 bytes de tráfego indesejado para um alvo de ataque. UDPataques de reflexão são responsáveis por um maior volume de tráfego em comparação com outros ataques. A figura a seguir ilustra a tática de reflexão e o efeito de amplificação. 

![\[Um diagrama que descreve um ataque de UDP reflexão\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/aws-best-practices-ddos-resiliency/images/udp-reflection-attack.png)


 Deve-se observar que os ataques de reflexão, embora forneçam aos atacantes uma amplificação “gratuita”, exigem a capacidade de falsificação de IP e, à medida que um número cada vez maior de provedores de rede adota a Validação de Endereço de Origem em Qualquer Lugar (SAVE) ou [BCP38](https://www.ietf.org/rfc/bcp/bcp38.html), essa capacidade é removida, exigindo que os provedores de DDoS serviços cessem os ataques de reflexão ou se mudem para data centers e provedores de rede que não implementam a validação do endereço de origem. 

# SYNataques de inundação
<a name="syn-flood-attacks"></a>

 Quando um usuário se conecta a um serviço do Transmission Control Protocol (TCP), como um servidor web, o cliente envia um SYN pacote. O servidor retorna um pacote de confirmação de sincronização (SYN-ACK) e, finalmente, o cliente responde com um pacote de confirmação (ACK), que completa o handshake tridirecional esperado. A imagem a seguir ilustra esse aperto de mão típico. 

![\[Um diagrama que mostra um aperto de mão SYN tridirecional\]](http://docs.aws.amazon.com/pt_br/whitepapers/latest/aws-best-practices-ddos-resiliency/images/syn-three-way-handshake.png)


 Em um ataque de SYN inundação, um cliente mal-intencionado envia um grande número de SYN pacotes, mas nunca envia os ACK pacotes finais para concluir os apertos de mão. O servidor fica esperando por uma resposta às TCP conexões semiabertas e a ideia é que o alvo acabe sem capacidade para aceitar novas TCP conexões, o que impede que novos usuários se conectem ao servidor; no entanto, o impacto real é mais sutil. Todos os sistemas operacionais modernos implementam SYN cookies por padrão como um mecanismo para combater o esgotamento da tabela de estados devido a ataques de SYN inundação. Quando o comprimento da SYN fila atinge um limite predeterminado, o servidor responde com um SYN - ACK contendo um número de sequência inicial criado, sem criar uma entrada na fila. SYN Se o servidor receber um ACK contendo um número de confirmação incrementado corretamente, ele poderá adicionar a entrada à tabela de estados e continuar normalmente. O impacto real das SYN inundações nos dispositivos de destino tende a ser a capacidade e a CPU exaustão da rede, no entanto, dispositivos intermediários com estado, como firewalls (ou [rastreamento de conexões](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) de grupos de EC2 segurança), podem sofrer esgotamento da tabela de TCP estados e eliminar novas conexões. 

# TCPreflexão da caixa intermediária
<a name="tcp-middlebox-reflection"></a>

 Esse vetor de ataque relativamente novo foi divulgado pela primeira vez em um [white paper acadêmico](https://www.usenix.org/system/files/sec21fall-bock.pdf) em agosto de 2021, que explicava como a TCP não conformidade nos firewalls disponíveis no estado nacional e no mercado poderia fazer com que eles fossem induzidos a se tornarem um vetor de amplificação. TCP Vimos esses ataques “na natureza” desde o início de 2022 e continuamos a vê-los até hoje. O fator de amplificação varia devido às diferentes maneiras pelas quais os fornecedores implementaram esse “recurso”, mas pode exceder a amplificação do UDP Memcached.