Fuer erfolgreiches Spoofing muss man entweder aus dem Netz des Zieles heraus arbeiten oder aber der Provider (autonome-system) des Zielsystem und der von dem der Angriff erfolgt duerfen keine ingress / egress listen auf den Border-Routern haben. Es sollten sich noch genug finden lassen. Viele Anbieter sind schlampig. Sprich, es geht. Wie kriegst du denn raus ob ein Packet das z.b. die source adresse eines rootzonen DNS Servers hat gespoofed ist oder nicht?
Ich bezweifel das die meisten Leute hierfuer positivlisten haben.
Du siehst das etwas sehr http protokoll-zentrisch.das Problem sind legitim(aussehend)e Seitenabrufe, die im Übermaß ein System überlasten können.