ZAPOBIEGANIE I ODPOWIEDZI NA ATAKI DENIAL-OF-SERVICE

Atakom DoS najlepiej zapobiegać; obsługa ich w czasie rzeczywistym jest bardzo  ważna i trudna. Najważniejszym sposobem ochrony systemu jest hartowanie systemów operacyjnych:

* Zainstaluj je z myślą o bezpieczeństwie.

* Monitoruj witryny, aby mieć świadomość luk w zabezpieczeniach.

* W miarę możliwości utrzymuj najnowsze wersje oprogramowania.

* Zainstaluj wszystkie odpowiednie poprawki bezpieczeństwa.

Jednak duża część zapobiegania polega na filtrowaniu pakietów na routerach sieciowych. Ponieważ osoby atakujące często ukrywają tożsamość maszyn używanych do przeprowadzania ataków poprzez fałszowanie adresu źródłowego połączenia sieciowego, techniki znane jako filtrowanie wyjścia i filtrowanie dostępu są powszechnie stosowane jako środki ochronne. Jak omówiono w dalszej części tego rozdziału, wychodzenie i filtrowanie wejścia są metodami zapobiegania, odpowiednio, opuszczaniu lub wchodzeniu pakietów do sieci z nieprawidłowym adresem źródłowym. Blokowanie adresów, które nie spełniają kryteriów prawidłowych adresów źródłowych i upewnienie się, że wszystkie pakiety opuszczające witrynę organizacji zawierają prawidłowe adresy, może udaremnić wiele ataków DoS. Inne metody filtrowania pakietów, które pomogą zapobiec DoS, to blokowanie wszystkich wiadomości rozgłoszeniowych i większości wiadomości ICMP. Nie ma powodu, dla którego witryna powinna akceptować wiadomości wysyłane do wszystkich hostów w witrynie. Ponadto prawdopodobnie nie ma dobrego powodu, aby zezwolić wszystkim hostom na odpowiadanie na wiadomości ping lub traceroute; w rzeczywistości większość komunikatów ICMP prawdopodobnie może zostać zablokowana. W niektórych przypadkach ofiary ustawiają listy odpowiedzi uruchamiane w celu wysyłania i ponownego wysyłania w dużych ilościach, aby zalać adres atakującego. Robienie tego na ogół nie jest dobrym pomysłem. Jeśli te wiadomości zostaną wysłane na prawidłowy adres, osoba atakująca może je odebrać i zatrzymać. Ale atakujący zazwyczaj fałszują źródłowy adres IP, więc odpowiedź na prawdopodobnie fałszywą sieć IP nie jest dobrą postawą obronną, ponieważ może zaszkodzić niewinnym ofiarom. Najlepsza obrona będzie obejmować ISP. W przypadkach, w których można zidentyfikować dostawcę usług osoby atakującej i skontaktować się z nim, ofiara może poprosić dostawcę usług o interwencję. W takich przypadkach dostawcy usług internetowych zwykle podejmują odpowiednie działania, aby zatrzymać atak i odnaleźć sprawcę. Jednak w przypadkach, gdy DoS wydaje się naśladować lub naśladować inną formę ataku lub gdy trwa on niezwykle długo, ofiara może chcieć podjąć bardziej agresywne działania, kontaktując się z CERT / CC, FBI i innymi organami, które mieć doświadczenie w atakach DoS i pewną jurysdykcję, jeśli sprawcy zostaną złapani. Obrona w czasie rzeczywistym jest trudna, ale możliwa. Wiele routerów i zewnętrznych systemów wykrywania włamań (IDS) może wykryć atak w czasie rzeczywistym, na przykład zbyt wiele żądań połączeń na jednostkę czasu z danego hosta IP lub adresu sieciowego. Router może blokować żądania połączenia lub IDS może wysłać komunikat pagera do administratora bezpieczeństwa. Jednak ataki takie jak smerfy mogą pochłonąć całą przepustowość, nawet zanim pakiety dotrą do miejsca docelowego. Aby w pełni zwalczać ataki DoS, wymagana jest współpraca dostawców usług internetowych i witryn użytkowników końcowych. Zostanie to omówione w dalszej części dyskusji na temat odpowiedzi na DDoS.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *