Carpet bombing: вместо классического “весь трафик на один IP” атакующие размазывают умеренную нагрузку по сотням или тысячам адресов одновременно. Твои пороги per-destination молчат, потому что на каждый отдельный хост идёт условно легитимный объём, но суммарно инфраструктура всё равно схлопывается под весом. Для телекома и банков это особенно больно, потому что классические анти-DDoS решения настроены детектить “острые пики”, а тут ковровая бомбардировка без явных выбросов. Параллельно расцвели атаки через амплификацию: маленький запрос к открытому DNS или Memcached превращается в ответ в десятки раз тяжелее, причём приходит от легитимных серверов, которых нельзя просто заблокировать. На практике это означает, что если ты до сих пор живёшь в логике “один вектор, один порог”, пора пересматривать модель детектирования.