Защита от ddos атак сетевого канала достаточно проблематична. Построение защиты от ddos атак зависит в первую очередь от используемой вами сетевой топологии, а так же от пакета защитных услуг, которые предоставляет провайдер. На сегодняшний день, основное количество атак элементарны.

 

Используются всего один или два вида ддос атак, а бот-сеть, с которой идёт атака, состоит в своём большинстве из малого количества хостов. Если ваш канал не парализован, то уместным будет решением запретить трафик идущий к атакуемым хостам на уровне шлюзе.

Так же на серверах, которые подверглись ддос атаке, следует запустить tcpdump, дабы определить, какой тип используется и какая защита от ddos атак должна применяться. Следует провести проверку на присутствие превышения количества однообразных пакетов TCP, SYN, UDP, ICMP. Так же следует провести анализ на присутствие пакетов, адресованных одному порту. Если атакующих ай-пи не много, то можно попросту запретить пакеты с данных адресов.

Прежде чем связаться с провайдером, следует попытаться сделать анализ атаки. Данное действие поможет провайдеру отделить атаку от вашей сети. Если фильтрация является возможной, то следует выборочно блокировать системы, участвующие в атаке, или запретить все пакеты к атакованным хостам. Последний метод защиты от ддос атак более лёгок и эффективен при смене типа атаки.

Если для публикации своего хоста в глобальной сети, на своем сетевом шлюзе вы применяете межсетевой протокол (Border Gateway Protocol, BGP), есть возможность использовать третий метод защиты от ддос атак. Этот метод предоставляет возможность клиентам UUNet, C&W, XO и других хост-провайдеров использовать небольшие маршруты (например, /32) со специфической общественной строкой, указывающей на то, что маршрутизаторам следует отправлять все входящие запросы на данный маршрут. Это достаточно действенный метод защиты от ддос атак с минимальным ущербом для вашего хоста. Данный способ эффективно работает с малым числом серверов, оказавшихся под ударом, и только при наличии такой функциональности. Недостатком подобной защиты от ддос атак является то, что IP адреса участвующие в отражении, абсолютно теряют связь с Интернетом.

Так или иначе, следует сохранять свою сеть в чистоте - разрешать только легальный трафик. Разрешите доступ TCP пакетам на порты 80 и 443, при наличии игровых сервисов откройте UDP. SSH открывать следует лишь для проверенных хостов. Защита от ddos атак может быть реализована благодаря данной статье.