Soglia per attacco DDOS

Al giorno d'oggi gli attacchi TCP SYN non sono comuni, si concentrano maggiormente sugli attacchi di amplificazione UDP su DNS, memcache e altri servizi UDP. D'altra parte, se vuoi calcolare la velocità del traffico puoi usare la formula, l'intestazione IP (20 byte) + l'intestazione TCP (20/32) byte per pacchetto, quindi è facile sapere quanti pacchetti al secondo hai bisogno di invia se vuoi un 1GB per esempio.

Un altro aspetto chiave che potresti considerare è lo "spooofing dell'indirizzo IP", al fine di evitare il rilevamento della fonte dell'attacco è facile spoofare i pacchetti IP / UDP di IP / TCP se vuoi una connessione TCP completa.

Non penso che ci sia una risposta assoluta qui.

Un certo numero di appliance e applicazioni di rilevamento DDoS funzionano in questo modo: esegui una misurazione della linea di base in bit / sec e pacchetti / sec per determinare quali livelli normali sono per la tua configurazione e quanto questi livelli fluttuano. Idealmente, si effettua questa linea di base per un periodo di tempo più lungo per tenere conto dei modelli giorno / notte e giorno della settimana / fine settimana. Quindi, puoi scegliere un livello al di sopra del quale decidi che i modelli di traffico sono sospetti.

Un altro approccio potrebbe essere quello di testare vari livelli di pacchetti / sec di SYNS per determinare a quale livello la tua rete, applicazione o qualunque cosa tu stia cercando di proteggere è sofferenza, allora hai scelto un livello che è al sicuro sotto questa quantità di pacchetti / sec.

Credo che il tasso medio in questi giorni (novembre 2018) sia dell'ordine di 3 Gbps (sebbene gli attacchi su larga scala possano facilmente arrivare fino a 100 Gbps). Una nota, le alluvioni TCP SYN sono un vettore abbastanza raro in questi giorni. Le inondazioni UDP sono molto più comuni.