Nochaml in eigenem Beitrag warum das in dem Fall genau so läuft um das abstrakte Konzept von diskrimieren von Minderheiten Beispiel zu verdeutlichen:
Am Anfang steht da immer irgend wo ein fünkchen Wahrheit nur halt nicht zu Ende gedacht: DDoS Angriffe optimieren natürlich immer auf möglichst großen Schaden bei kleinen Kosten. Kosten sind halt die Bandbreite denn die ist in deinem Botnetz begrenzt. Deswegen versucht man halt möglichst kleine Pakete zu machen die den passenden Schaden (last) anrichten. Der Klassiker sind Syn-flood: Das kleinste der möglichen TCP-Pakete verursachte schon last auf sehr alten TCP-Stacks.
Wäre tcp eine Nischenanwendung gewesen hätten die Router instant tcp mit all seinen legitimen Anwendungen blockiert. – Konnten sie aber nicht. Stattdessen hat man halt die Performance Serverseitig optimiert, dass das kein Problem mehr ist. Angreifer werden jetzt das nächst längere Paket nehmen, dass ausreichend Last erzeugt. (Viele benutzen btw. bis heute syn-foods. Die funktionieren zwar nicht mehr wie erwünscht weil sie ein paar Potenzen weniger Last erzeugen aber sie sind ja immer noch unheimlich billig man braucht dann halt ein paar Potenzen mehr Bandbreite aber das ist immer noch verlockend. Und während Linux und BSD selbst nicht mehr angreifbar hat der ein oder andere doch ne ausreichend kaputte Firewall, dass das doch wieder ein Problem wird. Die Chance bekommt man das sozusagen umsonst oben drauf.)
Die Sicherheitskonzept möglichst kleine Pakete zu blockieren ist als erst mal nachvollziehbar. Die werden wirklich aktiv und in großem Umfang für Angriffe genutzt.
Das Problem ist:
- Der Angreifer kann auch größer. Es ist ja nur eine Optimierung seiner Kosten. Du verhinderst dadurch keine Angriffe. Du machst sie bestenfalls teurer.
- Viel schlimmer. Bandbreite zu sparen ist auch ein Ziel für legitime Nutzer. Deswegen killt das die ganzen alten IoT Anwendungen. Die waren noch darauf ausgelegt mit kleinen Anbindungen klar zu kommen. (Während man damals angenommen hat, dass das auch in der Scheune per 28k-Modem funktionieren soll geht man heute eher davon aus, dass die Nutzer sich eh hier 200MBit/s überall hinlegen lassen, wo sie das benutzen wollen.) Man kann das Limit also gar nicht so weit hoch schrauben, dass es schmerzhaft für Angreifer wird, weil es dann eben auch legitime Anwendungen killt. Am Ende schadet so eine Maßnahme legitimen wie illegitimen Anwendungen gleich stark. – Solche patt Situationen hat man oft. Maßnahmen die gegen Missbrauch schützen, schützen halt dummerweise meistens auch gegen Gebrauch und zwar in gleichem Maße.
- Eigentlich müsste nach dem letzten Punkt Schluss sein. Entweder man nimmt an, dass der Missbrauch den Gebrauch überwiegt und schaltet TCP ab (setzt das Limit auf unendlich) oder man sieht es anders herum und lässt es laufen. (Setzt das Limit auf 0.) Aber beide Seiten sind sehr unbeliebt. Kompromisse klingen viel schöner. Also legt man halt irgend ein Limit fest, dass es ausreichend wenig schadet. Man kann sich dann nicht Tastenlosigkeit vorwerfen lassen aber die Mehrheit bleibt weitestgehend unbehelligt von den Maßnahmen. Passiert später doch was kann man halt darauf verweisen, dass das halt ein Kompromiss war.
- Resultat: Nischenanwendungen gehen kaputt. Der Bauer der bis jetzt mit seinem 28k-Anschluss gelebet hat muss dann halt doch auf die dickere Leitung Upgraden und für Onlineleihe wird es auch irgend eine Alternative geben. Waren beides eh keine "Zeitgemäßen" Nutzungen mehr. Sowas wird genau so sterben wie FTP Torrent oder Sipgate. Malware wird das auch wenig stören die nimmt halt das nächst größere Paket über dem Limit. – Und wir erinnern uns: Das musste ja klein genug gewählt werden, dass es für 99% der Nutzer kein Problem ist. Also auch nicht für die Malware...
Probleme hat lediglich der, der sich weiger schön brav immer im Mainstream mit zu laufen und meint, sein IoT zeug hat doch problemlos über Jahre funktioniert und nicht einsehen, dass er sich jetzt ein Alexa+200Mbit/s Leitung kaufen soll.