Come possiamo misurare l'efficienza della tecnica di inondazione? Sarà dal numero di bot richiesti per inondare il link? In caso di UDP e ICMP, quale sarebbe più efficiente e perché?
L'obiettivo principale dell'alluvione UDP è di inondare porte casuali (o specifiche) su un host remoto. Un attacco flood UDP può essere avviato inviando un gran numero di pacchetti UDP a porte casuali su un host remoto. Di conseguenza, l'host remoto: Controlla l'applicazione in ascolto su quella porta, verifica che nessuna applicazione sia in ascolto su quella porta e risponda con un pacchetto ICMP di destinazione non raggiungibile. Pertanto, per un gran numero di pacchetti UDP, il sistema di destinazione sarà costretto ad inviare molti pacchetti ICMP, portandolo alla fine ad essere irraggiungibile da altri client. L'utente malintenzionato può anche spoofare l'indirizzo IP dei pacchetti UDP, assicurandosi che gli eccessivi pacchetti di ritorno ICMP non lo raggiungano, rendendo anonimo in modo efficace la posizione dell'aggressore sulla rete. Questo processo consuma risorse di destinazione, che alla fine possono portare a inaccessibilità. Questo potrebbe anche essere usato contro specifiche applicazioni.
Un'altra variazione è l'UDP Fragmentation Flood. L'attività generata da questo attacco è simile al traffico valido. Questa versione dell'attacco UDP Flood invia pacchetti più grandi ma frammentati per esaurire più larghezza di banda inviando meno pacchetti UDP frammentati. Quando il server di destinazione tenta di mettere insieme questi pacchetti UDP frammentati e non correlati, non riuscirà a farlo, con il conseguente esaurimento delle risorse con conseguente possibile arresto anomalo / riavvio.
ICMP Flood è simile in linea di principio all'alluvione UDP: un'alluvione ICMP travolge la risorsa di destinazione con pacchetti ICMP Echo Request (ping), generalmente inviando i pacchetti il più velocemente possibile senza attendere le risposte. Questo tipo di attacco può consumare sia la larghezza di banda in uscita che quella in entrata , dal momento che i server delle vittime tentano spesso di rispondere con i pacchetti ICMP Echo Reply, determinando un significativo rallentamento complessivo del sistema.
L'efficienza di una tecnica di flood dipende probabilmente molto dal protocollo utilizzato, i pacchetti UDP possono variare in base alle dimensioni se si confronta con ICMP, tuttavia, probabilmente la metrica corretta è se il servizio che si desidera eseguire viene interrotto. Alcuni servizi, ad esempio DNS, necessiteranno di una metrica di alluvione diversa rispetto a un servizio SIP. Quindi è difficile da confrontare perché fondamentalmente sono due diversi tipi di attacco.