hapi k čemu takové opatření je? Kdo by vůbec něco takového dělal a k čemu by to vedlo? jako že si odpovím sám sobě? Jak to poškodí internet? Jak tahle věc zabrání třeba rozšířenému amplification attack kde je podvržení zdroje důležité ale nikoli podvržení cíle?
predstavme si, ze som ISP ktory ma v sieti verejne IPcky (lebo NAT skutocne nie je pre kazdeho).
mam vo svojej sieti DNS resolvery (lebo 8.8.8.8 nie je pre kazdeho, a filtrovat zakazane ponuky tiez treba), a tieto pre istotu odpovedaju len na dotazy, ktore prichadzaju z mojich IPciek.
nejaky zmrd vytvori pre domenu somzmrd.com zonovy zaznam s velkou odpovedou (radovo kilobajty, cim viac tym lepsie).
zmrd posle z internetu paket, kde zdrojova IP adresa bude IP adresa mojho klienta ktoreho chce zmrd nahnevat, cielova IP adresa bude IP mojho DNS servera. bude to maly UDP paket (bezstavovy) obsahujuci dotaz na domenu somzmrd.com.
co sa stane?
na kazdych par desiatok bajtov, ktore zmrd posle do mojej siete, moj DNS server posle par kilobajtovu odpoved mojmu zakaznikovi.
ked bude zmrd s kamaratmi zmrdmi posielat na moje DNSko tisice paketov za sekundu, DNSko mozno klakne a vsetkym klientom mozno nepojde net, a tomuto chudakovi klientovi este aj lahne pripojka (zahlteny download). na DNSku uvidim ze klient posiela dotazy a ja na nich odpovedam, na prvy pohlad chyba na strane klienta. a houby...
a podobnych scenarov nad UDP najde clovek az-az. co tak zhodit napriklad SIP server foodovanim paketmi REGISTER alebo INVITE?