web-dev-qa-db-fra.com

Différence entre l'amplification et l'attaque de réflexion?

  • Attaque par réflexion: les attaques par réflexion sont des attaques qui utilisent le même protocole dans les deux sens. L'attaquant usurpe l'adresse IP de la victime et envoie une demande d'informations via UDP aux serveurs connus pour répondre à ce type de demande. Le serveur répond à la demande et envoie la réponse à l'adresse IP de la victime.

  • Attaque d'amplification: les attaques d'amplification génèrent un volume élevé de paquets pour inonder le site Web cible sans alerter l'intermédiaire, en renvoyant une réponse importante à une petite demande.

J'ai obtenu cette attaque de réflexion Générer une demande sur certains serveurs et refléter ces réponses à l'adresse IP des victimes. Mais ce que je ne comprends pas, c'est que la définition d'une attaque d'amplification ressemble presque à une attaque par réflexion.

Donc, ma question est, quelle est la principale différence entre l'attaque d'amplification et de réflexion?

Pour votre information, ce n'est pas similaire à attaque de réflexion DNS vs attaque d'amplification DNS parce que je demande en termes de DOS pas spécifiquement DNS ce qui le rend beaucoup plus large que cette question.

10
Muhammad

TL; DR: l'attaque d'amplification est une attaque par réflexion où la réponse est supérieure à la demande.


L'attaque par réflexion se produit si la réponse est renvoyée à l'origine revendiquée de la demande. Avec une IP source usurpée, l'attaquant peut faire en sorte que le serveur réfléchissant envoie la réponse à la victime sélectionnée.

L'amplification est si la réponse est plus grande que la demande. Une attaque d'amplification est une sorte d'attaque par réflexion, où l'attaquant envoie une petite demande avec une adresse IP source usurpée et cela se traduit par une grande réponse (c'est-à-dire amplifiée) à la source revendiquée de la demande, c'est-à-dire la victime. En utilisant cette amplification, un attaquant peut utiliser peu de ressources pour attaquer une grande cible - plus le facteur d'amplification est élevé, moins l'attaquant a besoin de ressources.

Une attaque d'amplification actuellement largement discutée utilise une configuration non sécurisée de memcached et, en raison du protocole parlé par memcached, peut entraîner un facteur d'amplification d'environ 50 000. Voir Memcrashed - Principales attaques d'amplification depuis le port UDP 11211 pour plus de détails. D'autres protocoles utilisés dans le passé pour les attaques d'amplification étaient par exemple NTP ou DNS .

16
Steffen Ullrich