Trzy główne kategorie ataków: (1) **Ataki wolumetryczne** (~65% incydentów) — wysycają pasmo poprzez UDP flood, DNS amplification, NTP amplification, memcached reflection; mierzone w Gbps/Tbps; rekordowe ataki przekraczają 5 Tbps (Cloudflare 2024). (2) **Ataki protokolarne** (~20%) — wyczerpują zasoby serwera poprzez SYN flood, Smurf, Ping of Death, fragmentowane pakiety; mierzone w pps. (3) **Ataki aplikacyjne (L7)** (~15%) — celują w aplikacje webowe poprzez HTTP flood, Slowloris, RUDY, niskowolumenowe żądania o wysokim wpływie udające legalnych użytkowników; trudniejsze do wykrycia (np. 1000 żądań/sek do endpointu /search uruchamiającego kosztowne zapytanie DB). Współczesne kampanie są **multi-vector**: jednoczesne L3/L4 + L7 by przeciążyć zarówno pasmo, jak i logikę aplikacji. Istotne: hyper-volumetric (>100 Gbps trwające <1 min) i pulse-wave (naprzemienne wybuchy) zdominowały lata 2023-2025.

**Always-on**: ruch jest stale routowany przez infrastrukturę scrubbing (przez DNS lub BGP) — każdy pakiet inspekcjonowany, natychmiastowa mitygacja, brak opóźnienia failover; kosztuje więcej, rekomendowane dla celów wysokiej wartości (banki, e-commerce, gov). **On-demand** ('detection and divert'): ruch płynie bezpośrednio do origin do momentu wykrycia ataku, potem ogłoszenie BGP przekierowuje ruch do scrubbera; tańsze, ale wprowadza okno mitygacji 30-120 sekund, podczas którego atak jest odczuwalny. **Modele hybrydowe** łączą appliance on-prem (natychmiastowa mitygacja małych ataków) + cloud scrubbing (overflow dla ataków >pojemność gateway). Wybór zależy od: wymogów SLA (99,99% uptime → always-on), częstotliwości ataków (>1/miesiąc → always-on), wrażliwości na latencję (gaming/trading → always-on z edge POP), budżetu. Top dostawcy (Cloudflare, AWS Shield Advanced, Akamai Prolexic) oferują always-on domyślnie; legacy services często mają on-demand jako default.

Pięć poziomów według pojemności, zdolności i cen: (1) **Hyperscale CDN-zintegrowani** — Cloudflare (296 Tbps pojemności, zintegrowany z WAF/Bot Management, dostępny tier free, $200-$5K/mies Business/Enterprise), AWS Shield Advanced ($3K/mies + Cost Protection, zintegrowany z CloudFront/ALB/Route 53), Akamai Prolexic (najwyższy enterprise, 20+ Tbps, $50K-$500K+/rok). (2) **Specjaliści DDoS** — Imperva (dawne Incapsula, silne combo z WAF), Radware DefensePro (on-prem + cloud hybrid), F5 Silverline (obecnie Distributed Cloud DDoS), NETSCOUT Arbor (preferowany przez telco). (3) **Główni cloud-native** — Google Cloud Armor (głęboka integracja z GCP, ML-based), Azure DDoS Protection Standard ($2944/mies + $30/chroniony zasób). (4) **Telco/ISP-grade** — Lumen, NTT, Tata Communications, Verizon (in-network scrubbing). (5) **Regionalne/budżetowe** — Voxility, OVH (free Game/VAC anti-DDoS), Path.net. Kryteria wyboru: zapas pojemności (3-5x twojego obecnego peak), gęstość POP w pobliżu użytkowników, time-to-mitigate (cel <10 sek), jakość ochrony L7, gwarancje finansowe SLA, integracja z istniejącym WAF/CDN.

**Mitygacja wolumetryczna (L3/L4)** działa na brzegu sieci: reguły BGP Flowspec, blackholing (RTBH — ostateczny drop całego prefixu), dystrybucja Anycast (rozproszenie ataku na 100+ POP-ów), filtrowanie upstream u operatora, rate limiting UDP/ICMP, reputacja źródłowych IP (blokowanie znanych sieci botów), TCP SYN cookies. Mitygacja jest w dużej mierze automatyczna w ciągu sekund. **Mitygacja aplikacyjna (L7)** jest trudniejsza, bo ataki udają legalnych użytkowników: wymaga deep packet inspection, analizy behawioralnej (rate per sesja, nie per IP), JavaScript challenges (browser fingerprinting), CAPTCHA, detekcji botów (rozpoznawanie residential proxy, TLS fingerprinting/JA3), tarpittingu wolnych połączeń, blokady geograficznej, walidacji request body i integracji z regułami WAF (blokada konkretnych User-Agents, wzorców żądań). Mitygacja L7 wymaga terminacji SSL/TLS na brzegu — pełnej widoczności żądań HTTP. Współczesne ataki używają **technik adaptacyjnych** (rotacja IP z residential proxy, prawdziwe headless browsery) wymagając detekcji sterowanej ML zamiast statycznych reguł.

Pięć referencyjnych architektur: (1) **CDN + WAF + DDoS edge** (model Cloudflare/Akamai/Fastly) — jeden dostawca obsługuje edge caching, filtrowanie L7, bot management, DDoS — najprostsze, najczęstszy default 2026. (2) **Przekierowanie DNS-based** — zmiana rekordów A/AAAA na scrubber w trakcie ataku; działa dla każdego backendu, ale wprowadza opóźnienie TTL (5-15 min). (3) **Diversion BGP-based** (najbardziej enterprise) — ogłoszenie /24 ze scrubbera przez BGP w trakcie ataku; wymaga posiadania AS, tunelu GRE/Direct Connect z powrotem do origin; mitygacja sub-minutowa. (4) **Anycast** — pojedynczy IP ogłaszany z wielu POP-ów; atak naturalnie się rozdziela na infrastrukturę; ogranicza ekspozycję pojedynczego POP. (5) **Hybryda on-prem + cloud burst** — appliance Radware/F5/Arbor obsługuje ataki <1 Gbps, scrubber chmurowy aktywuje się dla większych; zachowuje widoczność, ale podwaja złożoność. **Strategia multi-CDN** (Cloudflare + Akamai lub Cloudflare + Fastly przez DNS load balancer typu NS1) redukuje ryzyko jednego dostawcy. Krytyczne: **upewnij się, że IP origin nie jest ujawnione** (używaj Cloudflare Tunnels, AWS PrivateLink, Akamai Site Shield) — ataki direct-to-origin omijają całą obronę, jeśli IP origin wycieknie przez historię DNS, certyfikaty SSL lub nagłówki email.

Szerokie spektrum cen według pojemności, funkcji i SLA: **Tier free** — Cloudflare Free (unmetered DDoS dla każdego planu), Google Cloud Armor Standard, OVH Game/VAC. **SMB/mid-market** ($20-$500/mies) — Cloudflare Pro ($20/mies) i Business ($200/mies), Imperva Cloud, Sucuri ($20-$300/mies). **Tier enterprise** ($3K-$50K/mies) — Cloudflare Enterprise (custom), AWS Shield Advanced ($3K/mies + Cost Protection), Imperva Enterprise, Akamai mid-tier. **Mission-critical/regulowane** ($50K-$500K+/rok) — Akamai Prolexic, NETSCOUT Arbor, F5 Distributed Cloud, scrubbing telco-grade. **Ukryte koszty**: nadwyżka transferu danych podczas ataku (AWS Shield Advanced zawiera Cost Protection — krytyczne), wdrożenie/integracja ($10K-$100K), bieżące tuning, drugi dostawca multi-CDN, retainer reagowania na ataki. **Kalkulacja ROI**: średni atak DDoS kosztuje $300K-$2M (downtime + utracone transakcje + reputacja + reagowanie na incydent); pojedynczy 2-godzinny outage przy $100K/h przychodu uzasadnia plan enterprise $50K/rok. Banki/giełdy typowo wydają 1-3% budżetu IT security na Anty-DDoS.

Osiem kluczowych kryteriów: (1) **Zapas pojemności** — pojemność sieci dostawcy powinna być 10-100x większa od największego historycznego ataku (obecny rekord: 5+ Tbps); Cloudflare/Akamai mają 200+ Tbps. (2) **Time-to-mitigate (TTM)** — cel <10 sekund dla always-on, <60 sekund dla on-demand; pytaj o metryki gwarantowane SLA. (3) **Geograficzna dystrybucja POP** — POP-y w pobliżu użytkowników redukują latencję i umożliwiają lepszą dystrybucję Anycast. (4) **Jakość L7 / bot management** — zaawansowane ataki to L7; ewaluuj detekcję ML, fingerprinting JA3/JA4, analizę behawioralną, jakość CAPTCHA. (5) **Integracja WAF + CDN** — single-vendor stack redukuje powierzchnię ataku i koszt vs poskładanie z części. (6) **Zdolność terminacji SSL/TLS** — wymagana dla ochrony L7; upewnij się, że spełnia wymogi szyfrowania. (7) **API + automatyzacja** — rules-as-code, moduły Terraform/CloudFormation, integracja z runbookami. (8) **Raportowanie + forensics** — packet captures, analytics ataków, raporty post-incident dla zarządu/audytu. **Unikaj**: czystego on-demand dla high-revenue services (luka TTM), pojedynczego regionu scrubberów (brak Anycast), dostawców bez gwarancji finansowych SLA dotyczących DDoS, braku zdolności L7 poza rate limiting. Waliduj poprzez **symulację red-team DDoS** (BreakingPoint, MazeBolt RADAR, kontraktowany etyczny atak) — nigdy nie ufaj deklaracjom marketingowym bez dowodu.