Ho visto numerosi documenti di ricerca che affermano che è "facile rilevare gli attacchi DDoS a livello di rete" senza dire perché. Di solito questi documenti di ricerca si concentrano sul rilevamento o sulla prevenzione degli attacchi a livello di applicazione, motivo per cui non entrano nei dettagli sugli attacchi a livello di rete. Perché è facile rilevare gli attacchi a livello di rete? Uno degli articoli che sto guardando dice "Negli attacchi DDoS a livello di rete, gli attaccanti inviano un gran numero di pacchetti fasulli (pacchetti con payload fasullo e numero SYN e ACK non valido)". Perché non aprire un gran numero di "nuove connessioni" con dati validi, a parte un indirizzo IP falsificato? Sì, suppongo che sarebbe facile rilevare quando hai appena ricevuto un pacchetto con un'intestazione di pacchetto non valida. Ma cosa succede quando si ricevono molti pacchetti con intestazioni valide, che tuttavia sono IP falsificati?