En los scripts de inundación, el script envía paquetes UDP a "ip.address: random.port" ¿Por qué no usa solo la IP? ¿Es necesario el puerto?
Los puertos de origen y destino forman parte de la estructura de paquetes UDP , no puede enviar un paquete UDP sin definir una fuente y un puerto de destino. Tenga en cuenta que los puertos realmente pueden ser cualquier cosa, ya sea que haya algo que escuche en el puerto del otro lado es otra historia. Una vez más, la capa de IP se procesará antes de decidir qué hacer con los datos del puerto, por lo que está utilizando los recursos en el sistema de destino.
Si alguien está inundando un sitio web con HTTP y bájelo. ¿Es debido a que la aplicación del servidor HTTP está demasiado ocupada para responder a los otros paquetes? Si no, ¿cuál es la razón?
Bastante mucho. Si está inundando el servidor web con HTTP, entonces está contando con el hecho de que lleva un tiempo procesar la solicitud HTTP. Y cuando el servidor dedica casi el 100% de su tiempo a procesar sus solicitudes, no tendrá capacidad de procesamiento para atender otras solicitudes.
Tenga en cuenta que esto no es cierto para la mayoría de los sitios web. Los servidores web de hoy tienen varios mecanismos para evitar solicitudes extrañas de una única IP, o incluso solicitudes muy similares de diferentes IP (primera D en DDoS). Además, es casi seguro que haya almacenamiento en caché en un proxy inverso, lo que reducirá mucho el tiempo de procesamiento. Necesitará un número razonable de direcciones IP y solicitudes distintas para que una DDoS tenga la oportunidad de tener éxito.
Algunas personas me dijeron que cuando me dirija a un enrutador doméstico sería mejor si elijo el flujo UDP en lugar de SYN o ICMP como método. ¿Es verdad? Si es verdad, ¿por qué?
Sólo puedo adivinar sobre esa declaración. Aunque diría que puede ser cierto para los enrutadores domésticos, intentemos razonar al respecto:
Los enrutadores domésticos de Mot tienen buenas defensas contra las inundaciones SYN y las inundaciones ICMP. Las antiguas listas negras a menudo que envían varios paquetes SYN sin completar el protocolo de enlace, la última simplemente detiene el procesamiento (casi) de cualquier ICMP si el enrutador parece estar sobrecargado. Las defensas UDP son un poco más difíciles de hacer porque los enrutadores domésticos a menudo están configurados para reenviar consultas de DNS sin hacer preguntas (aunque definitivamente no es el caso de los enrutadores de la industria).
UDP también es mucho más rápido de enviar desde el lado del atacante. Es un paquete más pequeño para que lo envíe un atacante mientras roba casi la misma cantidad de recursos del lado defensor. En los enrutadores de hoy, lo que puede esperar lograr es que el atacante gaste recursos eliminando los encabezados IP y analizando el paquete de la capa 3, no mucho más.
No estamos en momentos en que los enrutadores obtengan un paquete SYN, respondan y esperen un ACK mientras sostienen la memoria (y terminan fuera de la memoria bastante rápido). Ese vector de ataque está bastante muerto. Esa fue una razón por la cual las inundaciones SYN fueron efectivas, pero este vector ha sido rectificado en casi todas partes.