In un attacco di amplificazione DDoS, ad esempio inondazioni NTP, un utente malintenzionato utilizza una rete botnet per interrogare più server NTP sulla porta 123, spoofing dell'indirizzo sorgente utilizzando l'indirizzo della vittima / destinazione.
A quale porta viene inviato il traffico riflesso da questi server NTP? L'attaccante prende di mira un servizio specifico sull'host della vittima (scelto dopo le fasi di ricognizione e scansione)? oppure, sta semplicemente inviando traffico UDP alla vittima e non si preoccupa molto della porta a cui viene inviato quel traffico?
Più in generale, quali sono le porte coinvolte in un attacco di amplificazione DDoS?