Возможность распределенной атаки на отказ в обслуживании (DDoS)

Злоумышленник может попытаться вызвать отказ в обслуживании (DoS), напрямую отправив большой объем сетевого трафика. Прямой сетевой поток - это когда одна или несколько скомпрометированных ранее систем (ботнет) используются для отправки большого объема сетевых пакетов на внешний сервис или сеть жертвы. Для этого может использоваться практически любой сетевой протокол.
Большие ботнеты могут генерировать значительный объем трафика из систем, разбросанных по всему Интернету. Злоумышленник может иметь собственный ботнет или могут арендовать время в существующей ботнете для проведения атаки. В некоторых наихудших случаях для распределенной DoS (DDoS) атаки для генерации потока используется так много систем, что каждой из них достаточно отправить небольшое количество трафика, чтобы создать достаточный объем для насыщения целевой сети. В таких обстоятельствах отличить DDoS-трафик от легитимных клиентов становится чрезвычайно сложно.
Одними из способов усилить эффект от DDoS являются методы Reflection и Amplification.
Например при атаках DNS Reflection жертва подвергается массированным подложным ответам DNS. Для этого применяют ботнет, где каждый бот в такой сети генерирует несколько DNS-запросов на множество DNS серверов, но в качестве IP источника указывает один и тот же IP-адрес жертвы. Каждый DNS-сервис отвечает по этому IP-адресу жертвы, что приводит к отказу в обслуживании.
При атаке Amplification злоумышленник формирует запрос к промежуточному серверу таким образом, чтобы промежуточный сервер формировал пакеты существенно большего размера, чем были отправлены злоумышленником. Например ботнет отправил 100 000 коротких запросов DNS по 50 байт (всего 5 Мбайт), а каждый ответ от DNS сервера к узлу жертвы содержит 1 Кбайт, то жертва получает 100 Мбайт трафика.
Объединяя методы Reflection и Amplification злоумышленник может значительно усилить объем трафика.