放大攻击用于放大发送给受害者的带宽。这通常通过可用于使用DNS响应流量在目标系统上造成拥塞的可公开访问的DNS服务器来完成。许多服务可以被利用作为反射器,一些更难阻塞比别人。[36] US-CERT已经观察到,不同的服务意味着不同的放大因子,如下所示:[37]
| 协议 | 带宽放大系数 |
|---|---|
| NTP | 556.9 |
| CharGen | 358.8 |
| DNS | 高达179 [38] |
| QOTD | 140.3 |
| 地震网络协议 | 63.9 |
| BitTorrent | 4.0 - 54.3 [39] |
| SSDP | 30.8 |
| Kad | 16.3 |
| SNMPv2 | 6.3 |
| 蒸汽协议 | 5.5 |
| NetBIOS | 3.8 |
DNS扩展攻击涉及一种新的机制,增加放大效果,使用比以前看到的更大的DNS服务器列表。该过程通常涉及攻击者向公共DNS服务器发送DNS名称查找请求,欺骗目标受害者的源IP地址。攻击者尝试请求尽可能多的区域信息,从而放大发送到目标受害者的DNS记录响应。由于请求的大小显着小于响应,攻击者很容易能够增加指向目标的流量。[40] [41]的SNMP和NTP也可以利用作为在扩增攻击反射器。
通过NTP的放大DDoS攻击的一个示例是通过称为monlist的命令,其将请求时间的最后600个人的细节从该计算机发送回请求者。可以使用某个受害者的欺骗性源IP地址发送对该时间服务器的小请求,这导致了被请求回到受害者的数据量的556.9倍。当使用所有发送请求与相同的欺骗IP源的僵尸网络时,这将放大,这将发送大量的数据回到受害者。
由于响应数据来自合法服务器,因此很难防御这些类型的攻击。这些攻击请求也通过UDP发送,不需要连接到服务器。这意味着,当服务器接收到请求时,不会验证源IP。为了提高这些脆弱性的意识,已经开始了致力于找到放大向量的活动,这导致人们固定其解析器或完全关闭解析器。