Moin,

Übliche TCP/IP-Stacks senden SYN/ACK-Pakete bis zu viermal, wenn sie keine Reaktion erhalten. Der Bandbreitenvorteil beträgt also 4:1 für den Angreifer.

Dann ist der IP-Stack des angegriffenen Rechners aber kaputt und hat es nicht besser verdient. Wenn der nämlich ein SYN/ACK für eine Verbindung bekommt die er nicht bestellt hat, sendet er für gewöhnlich ein RST um die Verbindung sofort wieder abzubauen.
Da hätte der altbekannte direkte Angriff mit SYN-Paketen von gespooften Addressen bessere Chancen den Rechner lahmzulegen. Dann hat der Angegriffene es nämlich nicht nur mit der Bandbreite zu tun, sondern auch mit einer langsam vollaufenden Verbindungsliste. (Vorraussgesetzt die richtigen Rechner hinter den gespooften Addressen antworten nicht, will sagen existieren gar nicht.)

Natürlich ist ein Einzelkämpfer möglicherweise etwas überlastet, einen anderen einzelnen Server lahmzulegen, aber wenn 10 Freunde antreten, oder bereits vorhandene ferngesteuerte Zombies benutzt werden, dann ist das garkein Problem mehr. Und dank der gespooften IP auch absolut nicht zurückzuverfolgen.

Das kannst du aber auch direkt haben. Und du würdest dich dann nicht von der Existenz eines weiteren Rechners zum reflektieren abhängig machen. Es könnte evt. Vorteile haben, wenn du den Rechner den du als Reflektor einsetzt auch noch angreifen willst. Das ist wohl wahr.

--
Henryk Plötz
Grüße aus Berlin