US CERT: protokoły bazujące na UDP a DDoS

US Cert opublikował zestawienie potencjalnych protokołów mogących posłużyć do amplifikacji (czyli sztucznego zwiększenia) wolumenu ruchu używanego w ataku DDoS. Do tej pory najpopularniejszym protokołem tego typu był DNS, a ostatnimi czasy zyskuje na popularności NTP (zauważmy swoją drogą, że NTP posiada ponad 10-krotnie większy „Bandwidth Amplification Factor” od DNS, co oznacza że popularna usługa serwera czasu jest w stanie namnożyć komunikację 10 razy skuteczniej niż DNS).

Technicznie rzecz biorąc każdy protokół bazujący na UDP (daje to możliwość łatwego IP spoofingu) nie wymagający uwierzytelnienia oraz zwracający większą odpowiedź niż zapytanie, może być wykorzystany do ataku DDoS – w zestawieniu pojawiają się więc takie egzotyczne protokoły jak np.: Quake Network Protocol (mający zresztą większy współczynnik amplifikacji niż DNS).

Więcej o atakach DDoS w naszym mini poradniku (część 1, cześć 2, niebawem część 3. – metody ochrony) a także w zwięzłym wprowadzeniu publikowanym przez wspomniany US CERT.

–ms