caratteristiche dei pacchetti (src, dst ports) di un attacco di amplificazione DDos

1

In un attacco di amplificazione DDoS, ad esempio inondazioni NTP, un utente malintenzionato utilizza una rete botnet per interrogare più server NTP sulla porta 123, spoofing dell'indirizzo sorgente utilizzando l'indirizzo della vittima / destinazione.

A quale porta viene inviato il traffico riflesso da questi server NTP? L'attaccante prende di mira un servizio specifico sull'host della vittima (scelto dopo le fasi di ricognizione e scansione)? oppure, sta semplicemente inviando traffico UDP alla vittima e non si preoccupa molto della porta a cui viene inviato quel traffico?

Più in generale, quali sono le porte coinvolte in un attacco di amplificazione DDoS?

    
posta Taaha 08.05.2018 - 16:57
fonte

2 risposte

1

Per un elenco aggiornato dei protocolli utilizzati per gli attacchi di approvazione DDos, vedi Attacchi di amplificazione basati su UDP

Attualmente l'elenco è

+------------------------+--------------------------------+------------------------------+
|        Protocol        | Bandwidth Amplification Factor |      Vulnerable Command      |
+------------------------+--------------------------------+------------------------------+
| DNS                    | 28 to 54                       | see: TA13-088A               |
| NTP                    | 556.9                          | see: TA14-013A               |
| SNMPv2                 | 6.3                            | GetBulk request              |
| NetBIOS                | 3.8                            | Name resolution              |
| SSDP                   | 30.8                           | SEARCH request               |
| CharGEN                | 358.8                          | Character generation request |
| QOTD                   | 140.3                          | Quote request                |
| BitTorrent             | 3.8                            | File search                  |
| Kad                    | 16.3                           | Peer list exchange           |
| Quake Network Protocol | 63.9                           | Server info exchange         |
| Steam Protocol         | 5.5                            | Server info exchange         |
| Multicast DNS (mDNS)   | 2 to 10                        | Unicast query                |
| RIPv1                  | 131.24                         | Malformed request            |
| Portmap (RPCbind)      | 7 to 28                        | Malformed request            |
| LDAP                   | 46 to 55                       | Malformed request            |
| CLDAP                  | 56 to 70                       | —                            |
| TFTP                   | 60                             | —                            |
| Memcached              | 10,000 to 51,000               | —                            |
+------------------------+--------------------------------+------------------------------+
    
risposta data 09.05.2018 - 06:45
fonte
0

Per il caso degli attacchi di amplificazione NTP, normalmente usano il comando MON_GETLIST con un indirizzo di spoofing sulla porta 123 che genererà query brevi (spoofed) e risposte grandi (risposta MON_GETLIST).

In generale gli attacchi di amplificazione sono su UDP e sono limitati a un servizio specifico come DNS, NTP, SNMP e così via.

Puoi trovare ulteriori informazioni qui Comprensione e mitigazione degli attacchi DDoS basati su NTP

    
risposta data 08.05.2018 - 17:23
fonte

Leggi altre domande sui tag