Für gute (deutsche) Literatur zu dem Thema such bei Amazon nach dem Autor Ralf Spenneberg.
Kann ich so unterschreiben. Spenneberg hat einige nette Bücher über Sicherheitsthemen unter Linux im Allgemeinen geschrieben. Die meisten gibts auch online unter
http://spenneberg.com/.
Die Abwehr eine normalen Denial of Service Attacke, die von einem oder zwei Hosts ausgeht, ist nicht sonderlich schwer. Die meiste Netzwerk-Hardware im Hochpreissegment (Switche, Router etc.) hat bereits Funktionen integriert, um diese zu erkennen (z. B. ab einer bestimmten Paketrate pro Zeiteinheit pro Client) und die "angreifenden" Hosts zu sperren und deren Pakete idealerweise direkt an den Netzwerkgrenzen zu verwerfen. Das ist kein Kunststück.
Bei einer großen Distributed DoS ist es allerdings nicht mehr so einfach, da jeder der "angreifenden" Hosts ggf. nur wenige Daten schickt. Da macht es einfach die Masse der Angreifer. Und das ist auch der Punkt, weshalb sich DDoS-Attacken schlecht filtern lassen, außer man klemmt das Opfer ab. Um zu erkennen, was legitimer Datenverkehr ist und was nicht, müsste eine Deep Packet Inspection durchgeführt werden, ggf. bis auf die Schicht des Applikationsprotokolls herunter - das sind die berühmten Layer7 Filter, die entsprechend teuer sind; sowohl monetär als auch von der verbrauchten Rechenleistung. Im Zweifel sperrt man komplette Netzblöcke, wenn die Angreifer hauptsächlich von einem bestimmten Provider kommen. Allerdings ist dann immer noch nicht gesichert, dass es keine False Positives darunter gibt, also legitime Clients, die zufällig den gleichen Provider wie die Zombies nutzen.
Fakt ist, dass sich DDoS-Attacken nicht zuverlässig abwehren lassen. Die beste Möglichkeit ist immer noch, sie erst gar nicht entstehen zu lassen (jaja, ein Metavorschlag...). Aus Sicht des hostenden ISPs ist es das billigste, das Opfen kurzfristig abzuklemmen und jeglichen Datenverkehr zu ihm zu unterbinden. Eventuell lässt sich das auf einige Netzblöcke begrenzen (dafür gibt es eben Analyse Werkzeuge), in denen es dann allerdings auch Unbeteiligte geben kann, die nicht mehr auf das Ziel zugreifen können.