Amplification útoky obecně
Obecným principem amplification útoků je zneužití síťové služby k zesílení prováděného útoku. Zneužívány jsou tedy především služby, u nichž relativně malý dotaz vyvolá pokud možno několikanásobně větší odpověď. Zároveň je z pohledu útočníka potřeba mít možnost podvrhnout zdrojovou IP adresu zasílaného požadavku tak, aby odpověď byla doručena na IP adresu zamýšlené oběti. Proto jsou také zneužívány služby, které ke své komunikaci využívají protokol UDP (User Datagram Protocol), který je nespojovaný a u nějž tak na počátku neprobíhá trojcestný handshake, který známe z protokolu TCP. V případě protokolu UDP jsou data z klientské aplikace rovnou zasílána cílovému serveru bez jakéhokoliv vzájemného ověření. Doručení paketů také není navzájem ověřováno a případnou ztrátu paketů během komunikace si musí řešit samotná aplikace. Právě díky neexistujícímu mechanismu navazování komunikace v protokolu UDP pak může útočník podvrhnout zdrojovou IP adresu a server pak považuje obdržený požadavek za skutečně odeslaný z podvržené IP. I když již několik let známe mechanismus umožňující na úrovni sítí předcházet podobné manipulaci se zdrojovými IP adresami, bohužel není stále dostatečně široce používán, aby mohl těmto nekalým technikám zabránit. Máme samozřejmě na mysli ochranu proti spoofingu, která je popsána v doporučení IETF(Internet Engineering Task Force) BCP38. Jedná se o mechanismus filtrování odchozích IP adres tak, aby síť nemohly opustit pakety se zdrojovou IP adresou, která nepatří do rozsahů přidělených dané síti. Pokud by došlo k plošnému nasazení tohoto doporučení, došlo by k eliminaci útoků, závislých na podvržení zdrojové IP adresy. Prvním krokem, jak zabránit zneužití vlastní sítě je určitě implementace BCP38. V dalších článcích se blíže budeme věnovat „amplifikátorům“, se kterými se v poslední době nejčastěji setkáváme.