¿Los atacantes usan paquetes pequeños pero muchos o grandes y algunos? p.ej. 2 bytes o 512 bytes? Además, ¿puede el tamaño del paquete afectar el tamaño / velocidad del ataque?
Algo más, ¿cómo bloquean los ataques los cortafuegos? Solo verificando el contenido del paquete por ej. ¿Se elimina una cadena 'aaaaaaaa' en bytes o solo tienen "cooldowns" para cada solicitud de usuario?
Cuando se trata de DoS de red, generalmente los atacantes enviarán paquetes pequeños que provocan una respuesta de paquete grande de la víctima. Los paquetes de ataque más pequeños se favorecen a los paquetes de ataque grandes, ya que se puede enviar una mayor cantidad de ellos en un período de tiempo determinado. Un ejemplo de esto es el ataque DoS de NTP (Protocolo de tiempo de red) que ha ganado popularidad recientemente.
Un artículo fue escrito en ArsTechnica que describe el ataque bastante bien y en términos sencillos. "Un comando de solo 234 bytes es suficiente para hacer que algunos servidores NTP devuelvan una lista de hasta 600 máquinas que han usado previamente su servicio de sincronización de tiempo". "Los servidores NTP, que pueden estar ubicados en docenas o incluso en cientos de ubicaciones en todo el mundo, a su vez envían respuestas de objetivos que podrían ser decenas o cientos de veces más grandes que la solicitud falsificada".
Estos ataques funcionan al hacer que el sistema de destino consuma suficientes recursos para que no responda al tráfico legítimo.
Se puede ver un método similar en los ataques de inundación SYN. El atacante envía paquetes de solicitud SYN (sincronización) al sistema de destino con una dirección IP de origen falsificada. Cuando el sistema de destino intenta responder a estas solicitudes SYN con paquetes SYN-ACK (sincronización-acuse de recibo), no recibe ningún paquete ACK a cambio, ya que el sistema que pertenece a la dirección IP falsificada sabe que no envió una solicitud SYN . Estas conexiones medio abiertas consumen recursos en el sistema de destino hasta que no pueda responder a solicitudes legítimas.
Una inundación SYN se puede mitigar de varias maneras, incluida la imposición de un límite en el número de solicitudes SYN que pueden pasar a través de un firewall por segundo. Otra forma de mitigar una inundación SYN es reduciendo el valor de tiempo de espera para los paquetes SYN-ACK.
Los enrutadores enrutan paquetes, independientemente de su tamaño, por lo tanto, es más interesante usar paquetes pequeños. Los paquetes pequeños pueden saturar su enlace mucho más rápido que los paquetes grandes. En la práctica, los enrutadores no pueden enrutar a una cierta velocidad expresada en Mbit, esas velocidades se calculan en función del tamaño de paquete promedio multiplicado por la cantidad de paquetes que el enrutador puede enrutar.
Lea otras preguntas en las etiquetas denial-of-service