En un ataque de amplificación DDoS, digamos inundación de NTP, un atacante usa una red de botnet para consultar múltiples servidores NTP en el puerto 123, falsificando la dirección de origen utilizando la dirección de la víctima / objetivo.
¿A qué puerto se envía el tráfico reflejado desde estos servidores NTP? ¿El atacante apunta a un servicio específico en el host víctima (elegido después de las fases de reconocimiento y exploración)? o, ¿simplemente está enviando tráfico UDP a la víctima y no le importa mucho el puerto al que se envía ese tráfico?
Más generalmente, ¿cuáles son los puertos involucrados en un ataque de amplificación DDoS?