Naja, in jurz gefasst. Der DoS Angriff durch MSBlast ist zu verhindern. Das Problem ist das MSBlast so gecodet wurde das er per DNS die IP vom MS Server den er angreifen will abfragt. Ok, andererseits was blieb ihm für'n Wahl. Denn selbst wenn er die nicht gemacht hätte so würde der MS Server jede Anfrage auf seinem Server intern an eine Loopback IP weiterleiten. Diese würde zwar die Responsezeiten echter Anfragen verlängern, aber die vielen DoS Anfragen gingen beim Weitertransport zum richtigen Server unter. Sozusagen würde man damit nicht ernstgemeinte Anfragen ausfiltern. Der Trick: du als echter User connectest auf die Loopback IP die im DNS als www.windowsupdate.com eingetragen wurde. Diese Loopback wartet und leitet dich an eine andere IP weiter. Da MSBlast nur versucht zu connecten und dann sofort abbricht ignoriert er den Weiterleitungsresponse per HTML. Der IE würde dann aber die Site mit dem richtigen Inhalt anzeigen. Ein User mit ernstgemeinten Absichten würde also an eine IP weitergeleitet die nicht per DNS erreichbar ist. Alle Anfragen die durch MSBlast gemacht würden würden so nur den Loopback fluten, der natürlich das ein extrem schnelles IP Caching mit schnellem IP Verfallszeiten hätte.
Als zweiter Schutz wird der IP Adressbereich scaliert. D.h. man connected zwar nur zu einer IP per DNS Resolving, diese verteilt aber die Anfragen intern an mehrere Server. Damit wird die Last runterscaliert.

Stimmt doch so in etwa, oder ?

Gruß Hagen