Ci sono una serie di ragioni per cui questa soluzione non è sufficiente, alcune già trattate nelle risposte. Tuttavia, il problema principale, in particolare con i moderni attacchi DoS, è la larghezza di banda.
Inizialmente, gli attacchi DoS riguardavano principalmente l'invio di un numero sufficiente di richieste a un server per inondare la capacità dei server di elaborare le richieste. Spesso si trattava di un problema di risorse sul server, ovvero non abbastanza risorse di CPU o di memoria. In molti casi, sarebbe interessato solo un singolo servizio. Ad esempio, il server Web potrebbe non rispondere a causa di troppe richieste, ma altri potrebbero ancora funzionare.
I moderni Dos, in particolare gli attacchi di tipo DDoS, ora parlano di flooding della rete. Hai così tanti dati in arrivo, il tuo firewall, il router e la rete interna diventano allagati. Parte del motivo per cui è così devastante è che non è possibile comunicare in modo efficace con qualcos'altro. Non è possibile inviare un messaggio a un router upstream perché la connessione è inondata: switch, firewall e router non rispondono. Anche se sai cosa vuoi dire al dispositivo / router upstream, non puoi far passare il messaggio.
Ecco perché la soluzione spesso coinvolge il fornitore di servizi a monte. O avete bisogno di un canale di comunicazione separato, che potrebbe anche essere una telefonata, per convincere il vostro fornitore a prendere qualche iniziativa, come la creazione di un "buco nero" BGP per l'indirizzo IP nella vostra rete che viene preso di mira. Questo "buco nero" invierà tutti i dati indirizzati al tuo indirizzo IP interno a un buco nero, in modo che la quantità di traffico proveniente dalla tubazione verso la rete cali e che tu possa ora inviare / ricevere altri dati. Il problema è che se si utilizza NAT o simili, in modo che si abbia realmente solo un indirizzo pubblico, il buco nero indica che la rete è effettivamente fuori servizio e il DoS ha avuto successo. D'altra parte, se disponi di più indirizzi IP pubblici, potresti essere fortunato e subire solo una parziale perdita di servizio.
L'altro problema con il tuo suggerimento è che per funzionare, deve essere veloce e leggero. Tuttavia, deve anche essere sicuro altrimenti rischieresti di creare un nuovo vettore DoS. ad esempio, se si utilizza un protocollo veloce senza connessione, potrebbe essere troppo facile falsificare l'indirizzo IP. Questo mi permetterebbe di inviare richieste al tuo router upstream facendo finta di essere tu a chiedere che non vengano inviati dati. Quindi, qualsiasi comando che possa influenzare i dati inviati deve essere sicuro e verificabile - ora avete un comando che richiede più potenza di elaborazione per elaborarli - moltiplicare quello per il numero di macchine e ora dovete avere router più potenti - più veloce con più memoria e questo si moltiplica quando ci si sposta dal router locale, al router ISP al router di segmento ecc.