Как вы предотвращаете участие клиентов локальной сети в DDOS?
Большинство ссылок, которые я читал о смягчении последствий DDOS, связаны с граничными маршрутизаторами.
Однако, есть ли что-нибудь, что вы можете сделать, чтобы уменьшить вероятность того, что ваши клиенты LAN неосознанно участвуют в DDOS?
Например, блокировка широковещательных пакетов? Предполагается, что у вас нет клиентских приложений, которые законно используют широковещательные пакеты.
Или вы используете DNS-сервер, который может блокировать разрешение хоста для исходящего трафика с помощью общедоступных списков блокировки?
Граничные маршрутизаторы обычно (AFAIK) используются в качестве решения для защиты входящих DDOS-атак.
Для предотвращения «бессознательного участия» внутренних клиентов в исходящих атака, - Я бы подумал, каким образом DDOS может «вовлечь» ваших клиентов.
Например, часто используются дыры в WordPress; поэтому, если ваши клиенты являются веб-серверами, на которых запущен WordPress, держите их исправленными (и / или WAF перед ними). Убедитесь, что ваши политики безопасности разумны, поддерживаются и соблюдаются - я видел слишком много ящиков, которые были скомпрометированы и незаметно использовались как часть DDOS-атак. Мониторинг целостности файлов является разумным, а регулярный (даже лучше автоматизированный!) Мониторинг учетных записей пользователей системы и т. Д.
Если вашими клиентами являются настольные компьютеры / ноутбуки, то антивирус и нормальные (локальные) правила брандмауэра очевидны запуск, плюс блокирование всего безумных вещей на вашем уровне коммутации ядра (широковещательная передача часто необходима для самых разных вещей и, вероятно, даже для части DDOS - обычно они нацелены ["uni" cast], но действительно ли вашей сети требуется пропускать UDP-трафик> порт 1000? Или ICMP-пакеты с большой полезной нагрузкой или со скоростью> 10 в секунду на порт?) помогут.
Обучение пользователей и ограничения тоже разумны - у кого есть доступ к эти устройства? Разрешено ли им устанавливать все, что они хотят, откуда угодно?
Наконец, небольшой разумный мониторинг пропускной способности сети. Мы используем Zabbix, но есть масса вариантов. Я поймал более одной попытки исходящего DDOS из-за внезапного необъяснимого всплеска сетевого ввода-вывода ... Небольшая осторожность в настройке предупреждений, когда что-то выходит за рамки того, что вы считаете "нормальным" в течение длительного периода времени, - это редко бывает плохой идеей.
Убедитесь, что на вашем компьютере установлена последняя версия и установлен антивирус.
Большинство атак ботнета происходят из-за установленных вирусов / вредоносных программ, которые удаленный пользователь контролирует для запуска атаки, поэтому конечный пользователь почти никогда не узнает, что он участвует в атаке.
Это не совсем ответ на ваш вопрос, но я указываю на ошибки в ваших решениях в вашем вопросе.
DDoS не включает широковещательные пакеты, так как есть только один
Блокировка разрешения хоста DNS-сервера также бесполезна, DDoS-атаки могут использовать также IP-адреса.
Кроме того, DDoS-атаки проводятся против известных служб, поэтому вам придется заблокировать домен этой службы от разрешается на DNS-сервере, что может вообще заблокировать использование этой службы.
Кроме того, вы не можете заранее знать, какой домен станет целью DDoS. Поэтому вам нужно будет заблокировать разрешение всех доменов.
Прежде всего убедитесь, что вы не позволяете пакетам с поддельными адресами источника покидать вашу сеть. Если злоумышленник может отправлять поддельные пакеты, он может лучше скрывать свои следы и выполнять «отраженные» атаки.
Обычный способ предотвратить некорректное поведение клиентов локальной сети - запретить им прямой неограниченный доступ в Интернет.
Вы предоставляете локальные заменители обычно необходимого доступа к онлайн-сервисам (например, предоставляете DNS собственный кэширующий сервер имен, локальный источник времени NTP, почтовый ретранслятор и т. Д.), Которые вы можете легко отслеживать и настраивать с разумными ( на пользователя) политики использования. Предоставляйте доступ к большому Интернету только через прокси-сервер HTTP и требуйте для этого аутентификацию.
Если по-прежнему необходим прямой доступ в Интернет, занесите в белый список только определенные соединения.