您如何減輕 LAN 客戶端參與 DDOS 的風險?
我讀過的關於緩解 DDOS 的大多數參考資料都涉及邊緣路由器。
但是,您可以做些什麼來減輕您的 LAN 客戶端在不知不覺中參與 DDOS 的情況?
喜歡阻止廣播數據包?這是假設您沒有合法使用廣播數據包的客戶端應用程序。
或者使用可以使用公共阻止列表阻止主機解析傳出流量的 DNS 伺服器?
邊緣路由器通常(AFAIK)用作保護傳入DDOS 攻擊的解決方案。
為了防止內部客戶端“在不知不覺中參與”出站攻擊,我會考慮 DDOS 可能以何種方式“參與”您的客戶端。
例如,經常使用 WordPress 中的漏洞;因此,如果您的客戶端是執行 WordPress 的網路伺服器,請為它們打更新檔(和/或在它們前面安裝 WAF)。確保您的安全策略是明智的、維護的和強制執行的——我已經看到太多的盒子被破壞並被默默地用作 DDOS 攻擊的一部分。文件完整性監控是明智的,並且定期(甚至更好地自動化!)監控系統使用者帳戶等。
如果您的客戶端是台式機/筆記型電腦,那麼防病毒和健全的(本地)防火牆規則是一個明顯的開始,再加上在您的核心交換層阻止任何瘋狂的事情(廣播對於各種各樣的事情通常是必要的,甚至可能是 DDOS 的一部分- 他們通常是有針對性的
$$ “uni"cast $$,但是您的網路真的需要傳遞 UDP 流量 > 埠 1000 嗎?或者俱有大負載或每個埠每秒 > 10 的速率的 ICMP 數據包?)會有所幫助。 使用者培訓和限制也是明智的——誰可以使用這些設備?他們是否被允許從他們想要的任何地方安裝他們想要的任何東西?
最後,只是對網路吞吐量進行一點理智的監控。我們使用 Zabbix,但有很多選擇。由於網路 I/O 突然出現無法解釋的峰值,我已經擷取了不止一次出站 DDOS 嘗試……當事情在很長一段時間內超出您認為“正常”的範圍時,請注意設置警報是很少是一個壞主意。