características de los paquetes (src, dst ports) de un ataque de amplificación DDos

1

En un ataque de amplificación DDoS, digamos inundación de NTP, un atacante usa una red de botnet para consultar múltiples servidores NTP en el puerto 123, falsificando la dirección de origen utilizando la dirección de la víctima / objetivo.

¿A qué puerto se envía el tráfico reflejado desde estos servidores NTP? ¿El atacante apunta a un servicio específico en el host víctima (elegido después de las fases de reconocimiento y exploración)? o, ¿simplemente está enviando tráfico UDP a la víctima y no le importa mucho el puerto al que se envía ese tráfico?

Más generalmente, ¿cuáles son los puertos involucrados en un ataque de amplificación DDoS?

    
pregunta Taaha 08.05.2018 - 16:57
fuente

2 respuestas

1

Para obtener una lista actualizada de los protocolos utilizados para los ataques de aplicación de DDos, consulte Ataques de amplificación basados en UDP

Actualmente la lista es

+------------------------+--------------------------------+------------------------------+
|        Protocol        | Bandwidth Amplification Factor |      Vulnerable Command      |
+------------------------+--------------------------------+------------------------------+
| DNS                    | 28 to 54                       | see: TA13-088A               |
| NTP                    | 556.9                          | see: TA14-013A               |
| SNMPv2                 | 6.3                            | GetBulk request              |
| NetBIOS                | 3.8                            | Name resolution              |
| SSDP                   | 30.8                           | SEARCH request               |
| CharGEN                | 358.8                          | Character generation request |
| QOTD                   | 140.3                          | Quote request                |
| BitTorrent             | 3.8                            | File search                  |
| Kad                    | 16.3                           | Peer list exchange           |
| Quake Network Protocol | 63.9                           | Server info exchange         |
| Steam Protocol         | 5.5                            | Server info exchange         |
| Multicast DNS (mDNS)   | 2 to 10                        | Unicast query                |
| RIPv1                  | 131.24                         | Malformed request            |
| Portmap (RPCbind)      | 7 to 28                        | Malformed request            |
| LDAP                   | 46 to 55                       | Malformed request            |
| CLDAP                  | 56 to 70                       | —                            |
| TFTP                   | 60                             | —                            |
| Memcached              | 10,000 to 51,000               | —                            |
+------------------------+--------------------------------+------------------------------+
    
respondido por el Dijkgraaf 09.05.2018 - 06:45
fuente
0

Para el caso de los ataques de amplificación NTP, normalmente usan el comando MON_GETLIST con una dirección falsificada en el puerto 123 que generará consultas cortas (falsificadas) y grandes respuestas (respuesta MON_GETLIST).

En general, los ataques de amplificación se realizan en UDP y están ajustados a un servicio específico como DNS, NTP, SNMP, etc.

Puede encontrar más información aquí Comprensión y mitigación de los ataques DDoS basados en NTP

    
respondido por el camp0 08.05.2018 - 17:23
fuente

Lea otras preguntas en las etiquetas