Hay varios tipos (o métodos para lograr) de ataques tipo DDoS -
- inundación ICMP
- ataque P-to-P
- Inundación SYN
- Ataque de amplificaciones de DNS
- Y muchos más
Algunos tipos de ataques son posibles mediante la suplantación de direcciones IP de origen (como la amplificación de DNS, la inundación de Syn, la inundación de ICMP y otras). Los ataques que se pueden lograr a través del protocolo UDP se pueden hacer a través de la simulación, mientras que para aquellos en los que se debe completar el protocolo de enlace de tres vías TCP, no se puede lograr a través de la falsificación.
Mi pregunta es: ¿es suficiente para evitar ataques masivos de DDOS?
BCP 38 solo puede detener los ataques de suplantación de identidad. No puede proteger a la víctima contra ataques basados en TCP. El ataque DDoS en Dyn (el 21 de octubre) se realizó a través de dispositivos IoT, que no fue un ataque de tipo falso.
En pocas palabras, si BCP38 se implementa en todo el ISP en todo el mundo, el ataque DDoS no será fácil de lanzar contra las víctimas.
P.S. - BCP38 está implementado en mi organización (trabajo para uno de los ISP más grandes de mi país).