Такая тактика не всегда приемлема, тем более что репликация нового адреса системами DNS в Internet отнимет некоторое время. Учтите, что если зомби снабжены именами узлов, а не их IP-адресами, то изменение вообще ни к чему не приведет. Возбуждение расследования инцидента. Начните расследование, привлекая ISP и соответствующие государственные органы. Не отключайте и не изменяйте конфигурацию обнаруженных зомби и мастер-компьютеров — они могут пригодиться для сбора информации о злоумышленнике. Фильтрация исходящего трафика и настройка маршрутизаторов против DDoS Смысл рекомендации RFC2827 в наиболее общем виде может быть отображен в следующей маршрутизирующей инструкции: Многие производители публикуют собственные статьи, описывающие способы тонкой настройки сетей и маршрутизаторов против DDoS. В этом разделе в качестве примера представлены только некоторые из рекомендаций компании Cisco. Первый шаг заключается в настройке периметральных Cisco-маршрути — затов:
Эта команда запрещает трансляцию пакетов, отправленных с адресов, не входящих в таблицу маршрутизации. Заметьте, что эта команда имеет смысл только для внешнего интерфейса со стороны осуществляющего соединение. Кроме того, она требует включения опции Cisco Express Forwarding (CEF). На следующем шаге необходимо отфильтровать все адреса, не поддающиеся маршрутизации (см. рекомендацию RFC1918). Здесь используются списки доступа маршрутизирующего устройства. Мы уже говорили о том, что правила хорошего тона запрещают настраивать сеть таким образом, чтобы ее пределы покидали пакеты с не транслируемыми в Internet адресами отправителя В Cisco IOS существует еще одна полезная опция под названием Сош — mited Access Rate (CAR). Эта настройка позволяет администратору сети ставить в соответствие спискам доступа различные политики использования пропускной способности соединения. Таким образом, нежелательный трафик (например, ICMP) может быть ограничен следующей инструкцией:
