我读过的关于缓解 DDOS 的大多数参考资料都涉及边缘路由器。
但是,您可以采取什么措施来防止您的 LAN 客户端在不知情的情况下参与 DDOS 攻击?
比如阻止广播数据包?这是假设您没有合法使用广播数据包的客户端应用程序。
或者使用可以使用公共阻止列表阻止传出流量的主机解析的 DNS 服务器?
答案1
边缘路由器通常(据我所知)用作保护传入DDOS 攻击。
为了防止内部客户“不知情的情况下参与”出站攻击——我会考虑 DDOS 可能以哪些方式“涉及”你的客户。
例如,WordPress 中的漏洞经常被利用;因此,如果您的客户端是运行 WordPress 的网络服务器,请及时修补它们(和/或在它们前面安装 WAF)。确保您的安全策略合理、维护和执行 - 我已经看到太多的盒子被入侵并被悄悄用作 DDOS 攻击的一部分。文件完整性监控是合理的,定期(甚至自动化程度更高!)监控系统用户帐户等也是合理的。
如果你的客户端是台式机/笔记本电脑,那么防病毒和理智的(本地)防火墙规则显然是一个开始,再加上阻止任何疯狂的核心交换层上的事情(广播通常对于各种各样的事情都是必要的,甚至可能是 DDOS 的一部分 - 它们通常是有针对性的 [“单播”],但您的网络真的需要传递 UDP 流量> 端口 1000 吗?或者具有大有效负载或速率>每端口每秒 10 个的 ICMP 数据包?)会有所帮助。
用户培训和限制也是明智的——谁有权访问这些设备?他们是否可以随心所欲地安装任何他们想要的东西?
最后,只需对网络吞吐量进行一些合理的监控。我们使用 Zabbix,但还有很多选择。由于网络 I/O 突然出现无法解释的峰值,我捕获了不止一次出站 DDOS 尝试……当事情在很长一段时间内远远超出您认为的“正常”范围时,稍微注意设置警报通常不是一个坏主意。
答案2
这不完全是对你问题的回答,但我指出了你问题中解决方案的错误。
DDoS 不涉及广播数据包,因为它们的攻击只有一个目标。
DNS 服务器主机解析阻止也是没用的,DDoS 攻击也可以使用 IP 地址。
此外,DDoS 攻击针对的是知名服务,因此您必须阻止该服务的域在 DNS 服务器上进行解析,这将完全阻止使用该服务。
此外,您无法预先知道哪个域名将成为 DDoS 目标。因此,您需要阻止所有域名的解析。
答案3
确保您的计算机已更新并使用防病毒软件。
大多数僵尸网络攻击来自远程用户控制安装的病毒/恶意软件来发起攻击,因此最终用户几乎不知道他正在参与攻击。
答案4
防止 LAN 客户端行为不当的常用方法是拒绝他们直接不受限制的互联网访问。
您提供通常需要的在线服务访问的本地替代方案(即提供具有您自己的缓存名称服务器的 DNS、本地 NTP 时间源、邮件中继等),您可以轻松监控和配置合理的(每个用户)使用策略。仅通过 HTTP 代理服务器提供对更大互联网的访问,并要求进行身份验证。
如果仍然需要直接访问互联网,则仅将特定连接列入白名单。