マシンのport 50000
がUDPパケットで攻撃されているという架空の状況を想定してみましょう。ただし、そのマシンのport 50000
は実際には開いていません(つまり、マシンはport 50000
をリッスンしていません)。
このようなパケットの攻撃はDDoSにつながりますか?
もしそうなら、なぜですか?ポートが閉じている場合、パケットは何も起こらなかったかのように単にマシンから「跳ね返る」べきではありませんか?
はい。ホスト宛のパケットは引き続きマシンにルーティングされ、マシンはそれらの要求を処理する必要があります。 「ポートが閉じている」場合でも、カーネル/ネットワークスタックはパケット、ヘッダー、チェックサムを検証し、リクエストをサポートしていないことを確認する必要があります。場合によっては、これにより、そのポートでデータを受け入れていないことをリモートシステムに通知しようとするパケットの出力も発生します。これを1秒あたりの多くの要求と組み合わせると、独自のボックスでDDoSに追加してしまう可能性があります。
唯一の予防策は、要求を分散するために複数の層の背後にあるシステムの負荷を分散するか、トラフィックがボックスに到達する前にドロップできる上流のプロバイダーに連絡することです。