Nehmen wir eine hypothetische Situation an, in der port 50000ein Rechner mit UDP-Paketen bombardiert wird. Allerdings port 50000ist dieser Rechner nicht wirklich geöffnet (d. h. der Rechner hört nicht auf port 50000).
Würde ein derartiger Paketbombardement einen DDoS-Angriff zur Folge haben?
Wenn ja, warum? Wenn der Port geschlossen ist, sollten die Pakete dann nicht einfach vom Computer „abprallen“, als ob nichts passiert wäre?
Antwort1
Ja. Pakete, die für Ihren Host bestimmt sind, werden weiterhin an Ihren Computer weitergeleitet und Ihr Computer muss diese Anfragen weiterhin verarbeiten. Selbst wenn der „Port geschlossen ist“, muss der Kernel/Netzwerk-Stack das Paket, die Header und die Prüfsumme noch validieren und dann feststellen, dass er die Anfrage nicht unterstützt. In einigen Fällen führt dies auch zur Ausgabe eines Pakets, das versucht, dem Remote-System mitzuteilen, dass Sie auf diesem Port keine Daten akzeptieren. Kombinieren Sie dies mit vielen Anfragen pro Sekunde, und Sie könnten am Ende den DDoS-Angriff auf Ihre eigene Box verstärken.
Die einzigen vorbeugenden Maßnahmen bestehen darin, die Last des Systems hinter mehreren Schichten auszugleichen, um die Anfragen zu verteilen, oder sich an einen Upstream-Anbieter zu wenden, der den Datenverkehr unterbrechen kann, bevor er Ihre Box erreicht.