To what extend can a DOS attack succeed even if it was detected?
Se un attacco DOS non è rilevabile, non ha avuto successo.
Affinché un attacco DOS abbia successo, il difensore deve essere sopraffatto, anche se sa cosa sta succedendo.
Più il costo per pacchetto del difensore supera il costo per pacchetto dell'attaccante, più è probabile che il difensore sia sopraffatto.
Lo scopo del filtraggio DOS è quello di scartare i pacchetti DOS a basso costo - per ridurre il costo di ricezione del pacchetto a qualcosa di simile al costo di invio del pacchetto.
È abbastanza probabile che il filtro non riesca a prevenire il successo del DOS. Se, ad esempio, il DOS mastica tutta la larghezza di banda, ci riuscirà.
Tuttavia, il solo modo in cui il filtro causa l'attacco ha esito positivo è se il filtraggio è molto più costoso che lasciare che i pacchetti DOS colpiscano la tua infrastruttura. Non è impossibile, ma è improbabile.
Se il filtraggio è solo leggermente più costoso del non filtraggio, che di solito accade se il filtro non funziona, probabilmente non farà alcuna differenza durante un attacco. Qualsiasi attacco che riesce probabilmente sarebbe comunque riuscito, specialmente perché il firewall è quasi sempre una scatola diversa da quella che ospita il servizio sotto attacco.
Dove il filtro può fare male è con il traffico normale. Se il costo del filtro è significativo, rispetto al normale costo di elaborazione e se non c'è molta capacità inutilizzata, il filtraggio può trasformare un carico di traffico sano in un auto-rifiuto del servizio.