UDP Aspectos de Segurana

1. Introduo
Quando se fala em segurana, devemos ter uma boa noo das caractersticas pela qual ser
feita a segurana para posteriormente poder execut-la. Desta forma, primeiramente faremos uma
introduo das caractersticas gerais do protocolo UDP e depois sero abordadas as questes relativas
segurana.

2. Caractersticas Gerais do Protocolo UDP

O protocolo UDP um protocolo de camada 4 (de transporte) no modelo OSI, que se
caracteriza por ser mais simples que o TCP o outro protocolo da camada 4. Enquanto o TCP se preocupa
com a conexo e a chegada correta dos dados no destino, o UDP por ser mais simples no tem a mesma
preocupao, portanto, ele no verifica o recebimento dos dados pelo destino (tambm no possui o
servio de reenvio), no ordena as mensagens, ou seja, elas vo sendo agrupadas conforme vo
chegando, no controla o fluxo de informaes e no verifica a integridade dos dados para o destino. As
possibilidades de o destino no receber os dados so vrias como por exemplo: perder os dados,
duplicar os dados ou agrupar de forma errada.
Essa simplicidade do UDP pode parecer, primeira vista, um pouco estranha e provavelmente
um leigo diria: se existe um protocolo como o TCP, que garante a chegada correta dos dados no destino,
para que usarmos o UDP? A resposta fcil, por que se o protocolo simples, ele tambm menor,
ento devemos ver isto como ganho de velocidade na transmisso e recepo de dados, algo que nos
dias atuais se torna cada vez mais importante. claro que em muitas das vezes o pacote pode no
chegar ao destino, mas tambm devemos avaliar que s valer a pena enviar pacotes utilizando o UDP
quando este for pequeno, neste caso menor que 512KB. Ou seja, no ser em uma transferncia de
arquivos, como em um download usual, que ser recomendado a utilizao do UDP como meio de
transporte.
Uma outra caracterstica importante do UDP e neste ponto, semelhante ao TCP que ele se
baseia em portas para a troca de informaes, desta forma, atribuda uma porta ao destino e uma porta
a origem.

Figura 1 Formato do Datagrama UDP

O formato do UDP divide o pacote em campos como mostrado na figura 1.
 Os campos porta de origem e porta de destino, especificam que portas que sero utilizadas na
comunicao.
O campo tamanho descreve quantos bytes ter o pacote completo.
O campo checksum opcional e faz uma soma verificadora para garantir que os dados estaro
livres de erros.

3. Protocolos que Utilizam o UDP

Como dito anteriormente, o protocolo UDP simples se comparado ao TCP, ento somente
alguns protocolos utilizam o UDP para transporte de dados que so: o TFTP (Trivial File Transfer
Protocol), SNMP (Simple Network Management Protocol), DHCP (Dynamic Host Control Protocol), DNS
(Domain Name Service).

3.1. TFTP
Este protocolo semelhante ao FTP porm sem confirmao de recebimento pelo destino ou
reenvio. comumente usado por administradores de rede ao se fazer o download do IOS
(Internetwork Operational System) de um roteador ou do arquivo de inicializao.

3.2. SNMP
utilizado para configurar dispositivos como switches ou roteadores e permite que estes enviem o
seu status. O problema que os hackers, utilizam este protocolo para obter informaes sobre o
sistema, como as tabelas de roteamento. As ltimas verses do SNMP podem fazer criptografia md5,
porm a maioria ainda usa verses antigas que passa o password em formato de texto.

3.3. DHCP
utilizado em redes que sofrem constantes alteraes na topologia e o administrador no pode
verificar o IP (Internet Protocol) de cada mquina devido a enorme quantidade, ento o roteador
distribui IPs automaticamente para as estaes. Como esta atribuio feita com a utilizao do
UDP, caso haja algum problema o usurio ter que pedir o reenvio ou reiniciar a mquina. O nico
problema tcnico deste protocolo que como os IPs so atribudos aleatoriamente, fica mais difcil
para o administrador ter controle sobre o que cada host est fazendo.

3.4. DNS
Um tradutor dos nomes na rede, na qual cada IP pode ser correspondido com um nome. Neste caso,
imaginemos que um usurio esteja acessando a internet e deseja ir para outra pgina. Ele digita o
endereo no campo apropriado e entra. Se a pgina, por acaso, no abrir por no ter reconhecido o
endereo, o problema poder ter sido no envio ou resposta do servidor de nomes utilizando o UDP, e
ento o usurio tentar de novo acessar a pgina e provavelmente conseguir. Agora, imagine que
 isto fosse feito com o TCP, provavelmente esta falha no ocorreria, porm o tempo gasto para o
computador saber qual IP se refere quele nome seria inimaginvel para as necessidades atuais.

4. Vulnerabilidades do Protocolo UDP

O protocolo UDP assim como o TCP utiliza portas para a comunicao. Um dos primeiros
passos que um hacker pode explorar fazer a verificao das portas que esto abertas para
comunicao. Caso, o administrador da rede queira impedir a invaso no sistema ele poder fechar as
portas mais isso significa ficar sem comunicao, ento esta no a melhor soluo.

4.1 Alguns Tipos de Ataques

IP Spoofing: Um dos ataques utilizados por hackers, chamado IP Spoofing consiste em trocar o IP do
host de origem por um outro qualquer. Isto normalmente utilizado como proteo da identidade do
hacker. Portanto, a mquina poder achar que est recebendo dados de uma mquina, mas na verdade
estar recebendo dados de outra.

SYN Flood: Para o UDP, ataque do tipo SYN Flood que junta IP Spoofing com Denial of Service
(negao de servio), pode ser um problema, pois o hacker pode lanar algum processo que
sobrecarregue a mquina servidora.

Fraggle: O FRAGGLE um ataque que utiliza o UDP como protocolo de transporte. Ele causa uma
chuva ao enviar um pacote UDP para uma lista de endereos de broadcast.

New Teardrop: O New Teardrop diminui a parte de dados do pacote e o tamanho total do protocolo UDP
falsificado. Este ataque provoca o travamento das mquinas invadidas.

Worm W32.SQLExp.: O worm W32.SQLExp. um worm que atinge os sistemas que estiverem
executando o Microsoft SQL Servidor 2000 e tambm o Microsoft Desktop Engine (MSDE) 2000. O worm
envia 376 bytes para a porta UDP, a porta de SQL Server Resolution Service.
O worm tem o efeito no pretendido de realizar um ataque de Negao de Servio devido ao grande
nmero de pacotes enviados. Para resolver o problema deste ataque recomendvel fazer a
configurao de dispositivos de permetro a fim de bloquear a entrada de trnsito UDP para a porta 1434
de hosts no confiveis e o bloqueio da entrada de trnsito UDP de uma rede para a porta destino 1434.
Quando o worm W32.SQLExp.Worm ataca um sistema vulnervel, ele faz o seguinte: envia uma cpia de
si mesmo para o SQL Server Resolution Service, o qual monitora a porta 1434 do UDP. Explora uma
vulnerabilidade de transbordo de buffer que permite que uma poro da memria do sistema seja
sobrescrita. Ao fazer isso, ele executado no mesmo contexto de segurana do que o servio do
Servidor SQL. Chama a funo API do Windows, GetTickCount, e utiliza o resultado como fonte para
gerar endereos IP aleatrios. Abre um soquete no computador infectado e tenta enviar uma cpia de si
mesmo repetidamente porta 1434 do UDP nos endereos IP que gerou, usando uma porta de fonte
temporria. Como o worm no ataca os hosts seletivamente na sub-rede, o resultado uma grande
quantidade de trnsito.

4.2 Fragilidades

O servio NFS (Network File System faz o compartilhamento de discos remotos), por
exemplo, utiliza o UDP para a solicitao de criao, remoo e escrita de arquivos. Logo, um invasor,
com IP falso, poderia ter acesso ao servidor, ler dados ou at mesmo alter-los. O nico modo de no
permitir isso seria colocando um firewall na rede.
Outro tipo de ataque com UDP se d ao protocolo RIP (Routing Information Protocol), utilizado
por rotedores para detectar o melhor caminho na rede. Os pacotes RIP so pacotes UDP enviados para
a porta 513. Portanto, o problema principal, o qual aproveitado pelos hackers, que as informaes
no so checadas. Um atacante pode, ento, enviar informaes falsas e maliciosas de roteamento para
os outros roteadores, de tal forma que possa fingir que uma outra mquina, pretensamente confivel,
ou at mesmo para gravar todos os pacotes enviados para uma determinada mquina.

5. Concluso
Portanto, vimos que o protocolo UDP apesar de simples e no confivel bastante til em
pequenos servios como: TFTP, SNMP, DHCP, DNS.
Outro ponto importante, suas vulnerabilidades em que o invasor normalmente utiliza o
recurso de falsificar o IP, para no ser reconhecido. Ele tambm pode utilizar o UDP, para que no haja a
conexo entre computadores, e invadir computadores em que esteja sendo usado servios que
necessitem deste protocolo.

Referncias

[1] www.modulo.com; Aspectos de Segurana no protocolo IP.

[2] www.redbooks.ibm.com; TCP/IP Tutorial and Technical Overview.

[3] CCNA Cisco Certified Network Associate

[4] www.symantec.com.br