Vivien,
Landry (Hanarion) pourra te détailler tout ça, mais globalement on filtre par :
- TTL
- Taille de paquet
- IP Source
- Port source
- Port est (si très violent)
- checksum
- Frag / no frag
- Whitelist DNS..
Donc même avec un ddos sur un port 443, si tous les paquets entrants sont de taille 60, avec un TTL de 30... il suffit d'appliquer un filtre sur tous les paquets entrants de taille 60 avec un TTL de 30.
Pour faire bref, on fait une capture de paquet qui est ensuite analysée automatiquement (et les règles sont crées en conséquence) en quelques secondes.