Gli attaccanti usano piccoli ma molti pacchetti o grandi e altri? per esempio. 2 byte o 512bytes? Inoltre, le dimensioni del pacchetto possono influire sulla dimensione / velocità dell'attacco?
Qualcosa di più, in che modo i firewall bloccano gli attacchi dos? Basta controllare il contenuto del pacchetto, ad es. Una stringa 'aaaaaaaa' in byte viene eliminata o hanno solo "cooldown" per ogni richiesta utente?
Quando si tratta della rete DoS, in genere gli attaccanti inviano piccoli pacchetti che suscitano una risposta al pacchetto dalla vittima. I pacchetti di attacco più piccoli sono favoriti per i pacchetti di attacco di grandi dimensioni poiché una quantità maggiore di essi può essere inviata tra un determinato intervallo di tempo. Un esempio di questo è l'attacco DoS NTP (Network Time Protocol) che sta guadagnando popolarità recentemente.
Un articolo è stato scritto su ArsTechnica che descrive l'attacco abbastanza bene e in parole povere. "Un comando di soli 234 byte è sufficiente per far sì che alcuni server NTP restituiscano un elenco di fino a 600 macchine che hanno precedentemente utilizzato il proprio servizio di sincronizzazione temporale". "I server NTP, che possono essere localizzati in dozzine o addirittura centinaia di luoghi in tutto il mondo, a loro volta inviano risposte ai target che potrebbero essere decine o centinaia di volte più grandi della richiesta di spoofing".
Questi attacchi funzionano facendo sì che il sistema di destinazione consumi abbastanza risorse per non rispondere al traffico legittimo.
Un metodo simile può essere visto negli attacchi di alluvione SYN. L'utente malintenzionato invia SYN (sincronizza) i pacchetti di richiesta al sistema di destinazione con un indirizzo IP di origine falsificato. Quando il sistema di destinazione tenta di rispondere a queste richieste SYN con pacchetti SYN-ACK (sincronizzare-riconoscere), non riceve in cambio alcun pacchetto ACK, poiché il sistema che appartiene all'indirizzo IP falsificato sa che non ha inviato una richiesta SYN . Queste connessioni semiaperte consumano risorse sul sistema di destinazione fino a quando non è in grado di rispondere a richieste legittime.
Un'alluvione SYN può essere mitigata in diversi modi, tra cui l'imposizione di un limite al numero di richieste SYN che possono passare attraverso un firewall su una base al secondo. Un altro modo per mitigare un'inondazione SYN è diminuire il valore di timeout per i pacchetti SYN-ACK.
I router instradano i pacchetti, indipendentemente dalle loro dimensioni, quindi è più interessante usare piccoli pacchetti. Piccoli pacchetti possono saturare il tuo link molto più velocemente dei pacchetti di grandi dimensioni. In pratica i router non possono instradare ad una certa velocità espressa in Mbit, quelle velocità sono calcolate sulla base del pacchetto medio moltiplicato per la quantità di pacchetti che il router può instradare.
Leggi altre domande sui tag denial-of-service