biliejoex ha colto nel segno...

il syn flood non è un consumo di banda ma un consumo di risorse dovuto a come sono implementati gli stack tcpip. Esistono contromisure contro il syn-flood implementate proprio nello stack (vedi i syn-cookies o la controversa tecnologia "inventata" da Steve Gibson per i suoi server)

Un attacco basato sul consumo di banda è invece difficilmente gestibile. Se ti arriva un flusso maggiore di quello che riesci ad analizzare (e soprattutto molto maggiore del traffico lecito) la maggior parte dei pacchetti utili andrà persa.
Se chi attacca ha disponibile una ampiezza di banda molto maggiore della tua poco puoi fare (vedi a questo proposito gli attacchi distribuiti basati su flotte di zombie). L'unico modo per bloccarli è agire dove l'ampiezza di banda è maggiore e l'attacco è gestibile: sui router del tuo ISP!

Ah! per la cronaca tipi di attacchi DoS ne esistono moltissimi..


link interessanti:
http://www.grc.com/dos/grcdos.htm
http://www.grc.com/dos/drdos.htm