Ddos

您如何減輕 LAN 客戶端參與 DDOS 的風險?

  • June 4, 2017

我讀過的關於緩解 DDOS 的大多數參考資料都涉及邊緣路由器。

但是,您可以做些什麼來減輕您的 LAN 客戶端在不知不覺中參與 DDOS 的情況?

喜歡阻止廣播數據包?這是假設您沒有合法使用廣播數據包的客戶端應用程序。

或者使用可以使用公共阻止列表阻止主機解析傳出流量的 DNS 伺服器?

邊緣路由器通常(AFAIK)用作保護傳入DDOS 攻擊的解決方案。

為了防止內部客戶端“在不知不覺中參與”出站攻擊,我會考慮 DDOS 可能以何種方式“參與”您的客戶端。

例如,經常使用 WordPress 中的漏洞;因此,如果您的客戶端是執行 WordPress 的網路伺服器,請為它們打更新檔(和/或在它們前面安裝 WAF)。確保您的安全策略是明智的、維護的和強制執行的——我已經看到太多的盒子被破壞並被默默地用作 DDOS 攻擊的一部分。文件完整性監控是明智的,並且定期(甚至更好地自動化!)監控系統使用者帳戶等。

如果您的客戶端是台式機/筆記型電腦,那麼防病毒和健全的(本地)防火牆規則是一個明顯的開始,再加上在您的核心交換層阻止任何瘋狂的事情(廣播對於各種各樣的事情通常是必要的,甚至可能是 DDOS 的一部分- 他們通常是有針對性的

$$ “uni"cast $$,但是您的網路真的需要傳遞 UDP 流量 > 埠 1000 嗎?或者俱有大負載或每個埠每秒 > 10 的速率的 ICMP 數據包?)會有所幫助。 使用者培訓和限制也是明智的——誰可以使用這些設備?他們是否被允許從他們想要的任何地方安裝他們想要的任何東西?

最後,只是對網路吞吐量進行一點理智的監控。我們使用 Zabbix,但有很多選擇。由於網路 I/O 突然出現無法解釋的峰值,我已經擷取了不止一次出站 DDOS 嘗試……當事情在很長一段時間內超出您認為“正常”的範圍時,請注意設置警報是很少是一個壞主意。

引用自:https://serverfault.com/questions/842226