ik ben benieuwd naar de hoeveelheid data per seconde welke het datacenter van de rabo te verwerken heeft gekregen. Lijkt mij dat deze toch wel berekend moeten zijn op een beetje extra data verkeer ;)

DDOS is niet zomaar data verkeer.
Maar valse service requests.

ik verwacht eigenlijk niet dat het al te veel data verkeer verwerkt normaal gesproken, gezien een transactie weinig data is.
Wat ik wel apart vind is dat de Rabobank niet een soort routering heeft waarmee ze eigenlijk het verkeer over verschillende IP's laten lopen. Zo heeft twitter namelijk de dans ontsprong met de aanval op hun API van twitter. ze veranderde elke 5 / 10 min hun IP waardoor mensen die niet deelnamen aan het botnet hun target weer handmatig moesten aanpassen.

Ik vraag me dus af waarom Twitter wel onder de ddos uit is gekomen en een miljoenen al niet miljarden bedrijf dit niet lukt

Data per seconde is vaak niet het relevante getal. Er zijn veel DOS aanvallen die helemaal niet zoveel data sturen. Daarnaast zorg je voor een redelijke overcapaciteit, maar een DOS aanval kan meer dan een factor 10 load genereren, dat koop je niet zomaar in. Zelfs als je rekening houdt met een factor 10, dat krijg je een aanval met factor 20. enz...

Er staan miljoenen windows machientjes te popelen om nog wat extra verkeer te veroorzaken, er is altijd wel een grens aan de 'ontvangende' zijde.

Hoezo slaat aanval af? Dos aanval is toch gelukt, de website was niet bereikbaar dus dos gelukt

Heeft Rabo nu gewoon betaald om er vanaf te zijn ?

Ja want als je 40Gig aan uselesstraffic krijgt kunnen je routers dat gewoon goed afhandelen. In hou geval mag iemand niet 2x een syn sturen, wat als er packet loss is? Dan wordt die doos gebanned, lijkt me niet dat je dat wilt. Tevens kan er dan ook nog een L7 DDoS aanval aan de gang zijn. Echter hebben ze het in de titel over een DoS aanval (goedemorgen security.nl redactie).

Als ze puur het HTTP protocol gaan aanvallen met slowloris/postloris en dan ook nog eens 404 gaan genereren (lees, niet bestaande pagina opzoeken, waardoor de webserver eerst zijn disk moet bekijken of die site bestaat, en dan moet hij een 404 geven (kost dus meer i/o))

Dit is geenzins te vergelijken met je thuis routertje wat domweg iets blokkeert, het traffic komt nog aan bij je router... als je dat daar dropt sure, maar de lijnen hebben ook een capaciteit eh die kunnen ook vol.

En dan heb je nog te maken met second hand ddos, door alle media aandacht gaan mensen naar de site browsen en kijken of hun er wel bij komen, en dan heb je nog de klanten die graag bij hun bank gegevens willen.

Maar je kunt ook patroonherkenning op pakkets loslaten en een bepaalde cijfer aan toekennen, waarop je heb het ip tijdelijk blokkeert, net zoals spam.

Of controle op maximale verbindingen per IP per poort per x seconden/minuten.

En eerste x regels loggen van activiteit IP, volgens dat IP niet meer laten loggen om CPU en I/O-tijd te ontlasten.

Het zijn maar ideeën

Maar je kunt ook patroonherkenning op pakkets loslaten en een bepaalde cijfer aan toekennen, waarop je heb het ip tijdelijk blokkeert, net zoals spam.

Of controle op maximale verbindingen per IP per poort per x seconden/minuten.

En eerste x regels loggen van activiteit IP, volgens dat IP niet meer laten loggen om CPU en I/O-tijd te ontlasten.

Het zijn maar ideeën

Als de pijp dichtzit, zit de pijp dicht. Zo simpel is het.