Gegen DoS wird seit 20 Jahren mit aller Kraft Garnichts getan*. Man hätte ja wenigstens mal eine Richtlinie schreiben können, nach der ISPs IP-Pakete ihrer Kunden nicht routen sollen, wenn sie andere (also gefälschte) Herkunftsangaben aufweisen.
Man hätte sich auch mal die ganzen DNS-Server zur Brust nehmen können, die unreflektiert reflektieren.
Geht nicht, klar, BSI ist damit beschäftigt, Server schlecht zu warten.
*=Falschschreibung ist bekannt.