Un DDoS est-il possible si le port attaqué est fermé?

1

Supposons une situation hypothétique dans laquelle port 50000une machine était bombardée de paquets UDP. Cependant, port 50000ladite machine n'est pas réellement ouverte (c.-à-d. Que la machine n'écoute pas port 50000).

Un tel bombardement de paquets aurait-il pour résultat un DDoS?

Si oui, pourquoi? Si le port est fermé, les paquets ne doivent-ils pas simplement "rebondir" sur la machine comme si rien ne s'était passé?

networking port ddos udp Cendre
la source

Réponses:

2

Oui. Les paquets destinés à votre hôte seront toujours acheminés vers votre machine et celle-ci doit toujours traiter ces demandes. Même si le «port est fermé», la pile noyau / réseau doit encore valider le paquet, les en-têtes, la somme de contrôle, puis déterminer qu'elle ne prend pas en charge la requête. Dans certains cas, cela a également pour résultat que la sortie d'un paquet tente d'indiquer au système distant que vous n'acceptez pas de données sur ce port; combinez cela avec beaucoup de demandes par seconde, et vous pourriez finir par ajouter à la DDoS sur votre propre boîte.

Les seules mesures préventives consistent à équilibrer la charge du système entre plusieurs couches pour répartir les demandes ou à contacter un fournisseur en amont qui peut supprimer le trafic avant qu'il ne parvienne à votre poste.

Andrew
la source
4
Une remarque - si le port est sur "DROP", il y aura probablement beaucoup moins d'inspections.
Florin Asăvoaie
Existe-t-il un moyen de détecter les paquets "en collision" avec des ports fermés? En d'autres termes, si les données sont envoyées à un utilisateur fermé port 50000, existe-t-il une application (similaire à Wireshark) qui peut être utilisée pour détecter ces paquets?
Cendres
1
La plupart des pare-feu ont une option de journal. En fonction du nombre de fois que vous souhaitez vous connecter (et en supposant iptablesque ce soit assez courant), vous pouvez insérer une instruction LOG all avant votre instruction DROP. Cela devrait ensuite ajouter des entrées de journal car il supprime les paquets pour ces ports. Vous pouvez également simplement utiliser des instructions LOG individuelles par port que vous souhaitez consigner, mais assurez-vous que cela est avant l'instruction DROP all.
Andrew
Je pense que c'est théoriquement exact. Mais je pense que le DDoS vient de surcharger la connexion réseau, pas de saturer la pile IP sur l'ordinateur. En d’autres termes, si vous avez une connexion à 100 Mbits / s, un trafic de 100 Mbits / s le saturerait et ralentirait ou arrêterait le reste du trafic. Je doute qu'un pare-feu puisse avoir du mal à traiter les demandes, même sur un système faiblement alimenté. Vous voudriez probablement remplir votre disque dur et créer votre propre DDoS en enregistrant ces informations avant qu'une charge significative ne soit mise sur le système pour y déposer des paquets.
Appleoddity