DDoS útoky? Čo robiť, aby sme im predišli?
Podstatným faktorom, ktorý dokáže zmierniť následky UDP (aj volumetrických TCP) DDoS útokov je odseparovanie škodlivej prevádzky čo najbližšie pri vstupe do siete. Najlepším riešení v praxi je nasadiť paketové filtre pre IP adresu obeť útoku subjektom, ktorý poskytuje internetové pripojenie (ISP). V prípade nenasadenia paketových filtrov tak ako uvádzame vyššie, hrozí, že nastane zahltenie liniek vo vnútri siete a služby sa stanú nedostupnými.
Tí, ktorí poskytujú internetové služby vo väčšom rozsahu majú vo svojich sieťach realizované riešenia proti DDoS útokom. Princíp, na ktorom fungujú spočíva v detekcii útokov z NETFLOW dát z routrov v sieti. Po zistení útoku je celá sieťová prevádzka obete útoku presmerovaná zo svojej zvyčajnej cesty sieťou do mitigačného zariadenia (v princípe firewall). Mitigačné zariadenie (prezývané ako práčka, kde sa perie a čistí) použije na celú prevádzku paketové filtre (IP adresy, porty, regular expression, …) či iné opatrenia, ktoré zapríčinia to, že nastane vyčlenenie útočnej prevádzky od tej legitímnej, ktorú vráti späť do siete. Takýmto spôsob sa stane to, že útok je odfiltrovaný a cieľ útoku ochránený.
Čo spraviť, aby sa DDoS útokom dalo predchádzať?
Je potrebné rozlišovať medzi ochranou pred útokom a prevenciou voči nim. Jedine správne zabezpečenie koncových zariadení môže byť preventívnym opatrením, ktoré zabezpečí ochranu pred vznikom útokov, a to takým spôsobom, že nie je možné zneužitie známych slabín systémov a protokolov na útok. Takéto zabezpečenie je možné dosiahnuť nasadením paketových filtrov (ACL), inštaláciou novodobých verzií systémov a záplaty (patch) prípadných chýb. Zásadnou skutočnosťou, ktorú je potrebné si uvedomiť je, že predchádzanie útokom je možné realizovať len v mieste ich vzniku, nie v cieli samotného útoku.
Zásadným je aj zabránenie podvrhnutia IP adresy podľa známych odporúčaní tak, že takýto paket nebude sieť smerovať ďalej, ale bude zahodený. Nakoľko, niektorí ISP nevykonávajú kontrolu autenticity adries paketov, nedisponujú na vnútorných portoch smerovačov filtrami, ktoré by uvoľnili len prevádzku z adries, ktoré sa tam podľa adresného plánu majú nachádzať a jednoducho smerujú všetko z vnútra vlastnej siete, je možné vykonávať smerovanie paketov s podvrhnutými adresami. Je jasné, že dochádza k zneužitiu i iných protokolov a techník okrem tých, ktoré spomíname v tomto článku.