我读过的关于减轻DDOS的大部分参考文献涉及到边缘路由器。
但是,有什么可以减轻你的局域网客户端无意识地参与DDOS的吗?
像阻止广播包? 假定您没有客户端应用程序合法使用广播数据包。
或者使用可以使用公共阻止列表阻止外出stream量的主机parsing的DNS服务器?
通常使用边缘路由器(AFAIK)作为保护传入 DDOS攻击的解决scheme。
为了防止内部客户“不知不觉地参与” 出境攻击,我会考虑一下DDOS可能“牵扯”你的客户。
例如,经常使用WordPress的漏洞; 所以如果你的客户端是运行WordPress的web服务器,保持打补丁(和/或在他们面前的WAF)。 确保你的安全策略是合理的,维护和强制的 – 我已经看到了太多的方式妥协和沉默地使用的DDOS攻击的一部分。 文件完整性监控是明智的,并且定期(甚至更好的自动化!)系统用户账户等的监控。
如果你的客户是台式机/笔记本电脑,那么防病毒和理智的 (本地)防火墙规则是一个明显的开始,加上在核心交换层上阻止任何疯狂的事情(广播往往是各种各样的事情所必需的,甚至可能是DDOS的一部分 – 它们通常是以“uni”cast为目标的,但是你的networking是否真的需要通过UDPstream量> 1000端口?或者是每个端口有大载荷或每秒10个以上速率的ICMP数据包?)。
用户培训和限制也是明智的 – 谁有机会访问这些设备? 他们是否允许从他们想要的任何地方安装他们想要的东西?
最后,对networking吞吐量进行一些理智的监控。 我们使用Zabbix,但是有很多的select。 由于networkingI / O中突然无法解释的高峰,我已经发现了多个出站DDOS尝试…在长时间的事情超出你认为“正常”的情况下,很less有一个坏主意。
这不完全是你的问题的答案,但我指出你的问题在你的解决scheme中的错误。
DDoS不涉及广播数据包,因为攻击只有一个目标。
DNS服务器主机parsing也是无用的,DDoS攻击也可以使用IP地址。
此外,DDoS攻击是针对众所周知的服务进行的,因此您必须阻止该服务的域名在DNS服务器上parsing,否则DNS服务器将根本无法使用该服务。
此外,您无法预先知道哪个域将成为DDoS目标。 因此,您需要阻止所有域的parsing。
确保您的电脑是最新的,并使用防病毒软件。
大多数僵尸networking攻击来自安装的病毒/恶意软件,远程用户控制攻击,因此最终用户几乎不知道他正在参与攻击。
首先确保您不要让冒充源地址的数据包离开您的networking。 如果攻击者可以发送欺骗数据包,他们可以更好地覆盖他们的踪迹,并可以执行“reflection”攻击。
防止你的LAN客户端行为不正常的一种常用方法是拒绝他们直接无限制的互联网访问。
您可以提供本地替代服务(例如,提供DNS自带的caching名称服务器,本地NTP时间源,邮件中继等),您可以通过合理的(每个用户)轻松地进行监视和configuration。使用政策。 只能通过HTTP代理服务器访问更大的Internet,并要求进行身份validation。
如果仍然需要直接访问互联网,则只列出特定的连接。