A amplificação é uma das técnicas mais elegantes — e mais perigosas — no arsenal de quem lança ataques de negação de serviço. Permite ao atacante enviar uma quantidade modesta de tráfego e gerar, do lado da vítima, um volume muitíssimo superior. É o oposto da força bruta: é alavancagem.
O princípio: pequena entrada, grande saída
A amplificação é utilizada para multiplicar volumes de tráfego de modo a sobrecarregar o sistema-alvo. O atacante envia um pequeno pacote a um servidor ou serviço intermediário; esse pacote foi cuidadosamente construído para provocar uma resposta muito maior e essa resposta — não o pacote original — é o que vai inundar a vítima.
O segredo está em duas peças que andam quase sempre juntas: spoofing do IP de origem (para que a resposta amplificada seja entregue à vítima e não ao atacante) e um protocolo intermediário que responda com mais bytes do que recebe. Os dois exemplos clássicos abaixo ilustram o conceito de forma muito limpa.
[ ATACANTE ] → 1 pacote (origem falsificada) → [ REDE INTERMEDIÁRIA ] → N respostas → VÍTIMA
O atacante mal aparece nos logs — a vítima é submersa pela rede intermediária
Os dois exemplos clássicos
Os ataques Smurf e Fraggle são exemplos didáticos de como funciona a amplificação. Foram dos primeiros vetores documentados a usar este princípio e continuam a ser referência obrigatória em qualquer formação de cibersegurança.
Protocolo: ICMP
Smurf Attack
Ao enviar um ping com origem falsificada (a da vítima) para o endereço IP de broadcast de uma sub-rede, é gerada uma cascata sem fim de respostas echo reply por cada host dessa sub-rede.
Numa sub-rede com 62 hosts, cada pacote de entrada gera 62 respostas dirigidas à vítima — e o efeito multiplica-se a cada novo pacote enviado pelo atacante.
Mitigação: bloquear tráfego ICMP destinado ao endereço de broadcast em todas as sub-redes.
Protocolo: UDP
Fraggle Attack
A mesma ideia, mas em UDP: o atacante dirige um grande volume de tráfego UDP ao endereço IP de broadcast da sub-rede e a sub-rede passa a ser inundada por múltiplas cópias desse mesmo tráfego.
Imagine fazer streaming de um filme de uma plataforma online para o endereço de broadcast de uma sub-rede com 62 hosts: passariam a existir 62 cópias do filme a fluir simultaneamente — durante as 3 horas do filme.
Mitigação: impedir que IPs externos consigam alcançar o endereço de broadcast da rede interna.
A matemática da amplificação
O conceito-chave é o fator de amplificação — a razão entre o volume de tráfego que o atacante envia e o volume que chega à vítima. Quanto maior este fator, maior o efeito devastador com menos recursos do lado do atacante.
1 : 62
Sub-rede /26 (62 hosts)
1 : 254
Sub-rede /24 (254 hosts)
×N
Por cada pacote enviado
Em ataques modernos por amplificação UDP — DNS, NTP, memcached, CLDAP — os fatores podem ultrapassar largamente 1:1000, transformando alguns megabits por segundo do lado do atacante em vários gigabits por segundo do lado da vítima.
Porque é que estes ataques ainda importam
Smurf e Fraggle são, hoje, em grande parte mitigados por defeito: a maioria dos routers não encaminha directed broadcasts desde o final dos anos 90 (RFC 2644 / BCP 34). Mas o princípio é exatamente o mesmo dos ataques de amplificação que continuam a partir grandes serviços online:
- DNS reflection/amplification: consultas pequenas a resolvers abertos, respostas grandes para a vítima.
- NTP
monlist: resposta com lista de últimos clientes, fator de amplificação na ordem das centenas. - memcached: servidores expostos sem autenticação respondem com fatores que excederam 1:50 000 em incidentes históricos.
- CLDAP / SSDP / Chargen: protocolos UDP legados que continuam ativos em parques mal mantidos.
Em todos eles a receita é a mesma: UDP + spoofing + serviço que devolve mais do que recebe. Compreender Smurf e Fraggle é compreender a família inteira.
Mitigação prática
- Desativar directed broadcasts em todos os routers de borda (
no ip directed-broadcastem equipamentos Cisco; equivalente em outros fornecedores). - Filtrar ICMP echo dirigido a endereços de broadcast em ACLs de perímetro.
- Bloquear tráfego externo para endereços de broadcast internos — não há razão legítima para que um IP exterior tente alcançar o broadcast da rede interna.
- BCP 38 / ingress filtering: impedir que pacotes com IP de origem falsificada saiam da rede — corta o spoofing pela raiz.
- Fechar resolvers DNS abertos e desativar serviços UDP legados (Chargen, NTP
monlist, SSDP exposto à Internet). - Rate limiting em routers e firewalls para tráfego ICMP e UDP fora dos perfis normais de utilização.
- Monitorização contínua de tráfego saliente — uma rede que está a ser usada como amplificadora vê normalmente picos atípicos.
Conclusão
A amplificação é, no fundo, uma questão de alavancagem: quanto maior a desproporção entre pedido e resposta, mais devastador é o ataque com menos recursos do lado do adversário. Smurf e Fraggle são os exemplos canónicos — simples, claros e ainda extremamente úteis para ensinar o conceito.
Para uma equipa defensiva, a lição é dupla: não ser alvo e não ser amplificador. Configurar corretamente os routers de borda, fechar serviços UDP desnecessários e aplicar BCP 38 retira do mapa toda uma família de ataques que, quase 30 anos depois do Smurf original, continua a alimentar incidentes em produção.