Auch wen es mal wieder mario-like formuliert war, in diesem Falle hat er Recht. Gegen eine SYN-FLOOD-Attacke mit gespooften Absendeadressen kann man letztendlich nichts ausrichten, nciht mit der besten hardware und nichts mit den besten Firewallregewerken, der Grund ist einfach:
Ein dDoS verbaucht erstens die komplette Bandbreite, und die Bandbreite kann selbst die bese Hardware nciht erhöhen, wenn man nun mal "nur" eine 133MBit Strecke hat, und bei ständig wechselnden, gefälschten IPs kann einfach kein Muster hinein kommen, sofern der Algorithmus zur Erzeugung nicht banal ist. Man kann einfach die Schadpakete nicht von den rechtmäßigen unterschieden, da beide das gleiche tun, nur die Masse eben nicht verarbeitbar ist.
Abschalten der Leitung bringt auch nichts, denn man nimmt dem DoS letztendlich einfach die Arbeit damit ab, klemmt man wieder an, so ist der DoS immer noch da.
So lange die ISPs nicht beim Routing in andere Netze überprüfen, ob der Absender wirklich aus dem eigenen Subnet kommt, ist gegen DoS nicht anzukommen, zumindest, so lange es IPv4 gibt.
xafford
BIMEX
