Supposons une situation hypothétique dans laquelle port 50000une machine était bombardée de paquets UDP. Cependant, port 50000ladite machine n'est pas réellement ouverte (c.-à-d. Que la machine n'écoute pas port 50000).
Un tel bombardement de paquets aurait-il pour résultat un DDoS?
Si oui, pourquoi? Si le port est fermé, les paquets ne doivent-ils pas simplement "rebondir" sur la machine comme si rien ne s'était passé?
Réponses:
Oui. Les paquets destinés à votre hôte seront toujours acheminés vers votre machine et celle-ci doit toujours traiter ces demandes. Même si le «port est fermé», la pile noyau / réseau doit encore valider le paquet, les en-têtes, la somme de contrôle, puis déterminer qu'elle ne prend pas en charge la requête. Dans certains cas, cela a également pour résultat que la sortie d'un paquet tente d'indiquer au système distant que vous n'acceptez pas de données sur ce port; combinez cela avec beaucoup de demandes par seconde, et vous pourriez finir par ajouter à la DDoS sur votre propre boîte.
Les seules mesures préventives consistent à équilibrer la charge du système entre plusieurs couches pour répartir les demandes ou à contacter un fournisseur en amont qui peut supprimer le trafic avant qu'il ne parvienne à votre poste.
port 50000, existe-t-il une application (similaire à Wireshark) qui peut être utilisée pour détecter ces paquets?
iptablesque ce soit assez courant), vous pouvez insérer une instruction LOG all avant votre instruction DROP. Cela devrait ensuite ajouter des entrées de journal car il supprime les paquets pour ces ports. Vous pouvez également simplement utiliser des instructions LOG individuelles par port que vous souhaitez consigner, mais assurez-vous que cela est avant l'instruction DROP all.