TCPCookieトランザクションに関するRFC6013を読みました。実際、CookieトランザクションはDDOSを妨げる可能性があります。ただし、これはTCPオプションの1つにすぎません。クライアントとサーバーの両方が同時にサポートする必要があります。しかし、クライアントが悪意のある攻撃者である場合、なぜこのオプションを使用するのでしょうか。
TCPCookieトランザクションがDDOSを妨げる可能性はないと思います
クライアントがこのオプションを使用しない場合、TCPCTはどのようにしてDDOSを阻止しますか?
あなたの質問には多くの答えが考えられますが、これはおそらく最も簡単です: TCPCT が広く採用されると、DDOS 攻撃中に、TCPCT を使用しないすべての接続を拒否できます。したがって、TCPCT をサポートするクライアントとの正当な接続は引き続き機能し、DDOS 攻撃を無効にします。
@David Schwartz からの良い回答ですが、「正当な」感染マシンを実際に使用するボットネット DDoS をこれでどのように防ぐことができるかわかりません。(つまり、トロイの木馬 DDoS) これらはかなり一般的な攻撃戦術で、簡単に使用でき、安価に購入できます。これは、このテーマに関する多くのリソースの 1 つにすぎません。
http://www.scmagazine.com/easily-available-tools-botnets-contribute-to-ddos-rise/article/253382/
はい、TCP Cookie は SYN フラッドを防ぐことができますが、これらは既に ACK 検証によって軽減できます (できれば、より大きなフラッドを阻止するためのリバース プロキシ)
私はセキュリティ会社 ( Incapsula ) で働いており、日常的に DDoS に対処しています。多くのボットネット攻撃を阻止しており、攻撃の数と規模は増加の一途をたどっています。
今後 3 ~ 5 年で、ほとんどの SMB 商用サイトはサード パーティの DDoS 保護を導入することになると思います。これはすべて単なる競争 (攻撃量とパイプ サイズ) であり、サード パーティのフロントゲート プロキシが最もコストがかかるためです。スケーラブルで効率的な DDoS ソリューションを実現する効果的な方法です。