Antes de mais nada, ao simular você sabe qual é o ataque. Com um ataque real, você pode ter que fazer alguma investigação para descobrir o que está sendo feito. Isso é muito fácil com ataques de rede, mas quando eles começam a direcionar os aplicativos, o diagnóstico pode ser mais desafiador.
Ataques altamente distribuídos são difíceis de serem simulados
Com o DDoS, a distribuição dos IPs pode ser muito mais ampla do que você pode facilmente simular.
Isso pode ter um papel significativo se você usar qualquer tipo de ferramentas limitadoras de taxa de IP ou métodos de detecção baseados em comportamento.
Em um caso, eu tive um ataque de aplicativo HTTP que estava inundando um servidor. Usamos uma contra-medida para descartar solicitações com base na taxa de solicitação do IP. Isso funcionou até que os atacantes ampliaram o ataque. Eles começaram a bater com milhares de IPs a uma taxa abaixo dos nossos limites.
A simulação desse tipo de ataque é factível, mas desafiadora. No final, acho que tivemos cerca de 25.000 endereços IP atacando com uma inundação de quase 600Mbs. Este foi todo o tráfego HTTP.