On Tuesday 13 October 2015, Крупко Роман Александрович wrote:
И если адрес подменён, то это не помогает. А так реализовано большинство DDoS атак.
Это, как раз, не самая большая проблема. Вариантов подмены адреса не так много.
Вариант 1. Всякие amplification-атаки. Тут не найдёшь реального атакующего, но вот источник усиления посылает жертве трафик от своего имени. С этим, в теории, бороться можно, препятстве только в забивании многих на работу с abuse@.
Вариант 2. Зомби сеть. Трафик, изначально, генерируется с левым src ip. Тут вопрос, на сколько все придерживаются правила не выпускать наружу пакеты с src ip не своего диапазона. Если такого правила придерживаются многие, то такие пакеты не покинут сеть оператора, либо подстановка левого IP будет из сети этого же оператора. Тут уже есть шанс найти. Отдельный вопрос с магистралами, но это меньшие количественные (в пользователях) объёмы.
Третий вариант в голову не приходит.