Gli DDoS possono essere analizzati semplicemente controllando il volume e il modello del traffico che colpisce il router. Qualsiasi router decente avrà qualcosa chiamato SNMP (Simple Network Management Protocol). SNMP acquisisce informazioni sulle prestazioni del router (in questo caso può essere utilizzato per tutti i tipi di dispositivi) e consente a un servizio esterno di acquisire i dati, aggregarli e riferire su di essi. Uno dei vantaggi di SNMP è che si verifica fuori dal limite del traffico effettivo e che pertanto non dovrebbe influire sulle prestazioni del router e sul suo traffico. Idealmente, il traffico SNMP per un router dovrebbe passare da una LAN completamente separata (una LAN di gestione) ai dati. SNMP può essere ovviamente un rischio per la sicurezza e quindi deve essere gestito con attenzione al limite della rete.
Qualsiasi router di livello enterprise avrà questa capacità. Molti router di fascia consumer hanno anche il mio Billion 7800N.
Un'alternativa che cattura più dettagli e può rilevare gli attacchi DDoS che un semplice monitoraggio SNMP potrebbe perdere richiede qualcosa nel flusso di traffico per intercettare il traffico e analizzarlo. Ciò potrebbe accadere all'esterno del router modificando la voce DNS per la rete da monitorare in modo che passi attraverso un servizio di monitoraggio esterno che, a sua volta, inoltra i dati al router. Puoi farlo anche all'interno del confine della rete. Il pericolo qui sta aggiungendo troppa latenza al traffico in modo che incida sulle prestazioni.
Non sono sicuro di cosa intendi con la tua ultima domanda. È possibile indirizzare nuovamente il traffico in entrata piuttosto che verso l'interno, ma non sono sicuro del motivo per cui lo si vorrebbe. Certamente se l'obiettivo fosse quello di monitorare il traffico, questo sarebbe un metodo molto inefficiente.
AGGIORNAMENTO: dal tuo commento riguardante i anturis servizi.
Anturis è un esempio di serie di prodotti che coprono un numero di tipi.
In tutti questi casi, è necessario intraprendere qualche tipo di azione per consentire il monitoraggio. Variabile rispetto all'installazione del software sui server, alla riconfigurazione dei router (per consentire l'accesso a SNMP), fino a consentire il ping da Internet.