UDP bazirani DRDoS napadi

Distributed Reflective Denial of Service (DRDoS) je vrsta DDoS napada koja koristi javno dostupne servere da bi povećala obim napada na sistem.

UDP je dizajniran kao connection-less protokol, što znači da ne vrši validaciju izvorišne IP adrese. Ukoliko aplikacioni sloj ne koristi mjere zaštite kao što je vođenje računa o sesiji, lako je moguće falsifikovati IP datagram i ubaciti u njega proizvoljnu izvorišnu adresu. DRDoS se zasniva na kreiranju velikog broja paketa sa adresom žrtve kao izvorišnom adresom,  koji se šalju javno dostupnim serverima. Serveri odgovaraju žrtvi i tako vrše DDoS napad.

Određene komande UDP protokola imaju odgovore koji su mnogo veći od inicijalnog zahtjeva tako da je moguće, relativno lako, zatrpati žrtvu sa ogromnim količinama podataka korišćenjem DRDoS napada. Ovaj proces se naziva pojačanje napada. Metrika koja se koristi za ocijenu pojačanja napada je Bandwith Amplification Factor (BAF). BAF predstavlja broj bajta odgovora za jedan bajt zahtjeva.  

Otkrivanje DRDoS napada nije lako, jer se radi o velikim provjerenim serverima koji nude UDP servise.

Neki od UDP protokola i njihov BAF

DNS

28 do 54

NTP

556.9

SNMPv2

6.3

NetBIOS

3.8

SSDP

30.8

CharGEN

358.8

QOTD

140.3

BitTorrent

3.8

Kad

16.3

Quake Network Protocol

63.9

Steam Protocol

5.5

Multicast DNS (mDNS)

2 do 10

RIPv1

131.24

Portmap (RPCbind)

7 do 28

Izvor:www.us-cert.gov