Разделение систем внешних и внутренних DNS усложнит задачу выявления внутренней архитектуры сети. Как следствие, это значительно понижает вероятность появления зомбированного узла внутри защищаемого периметра. Распределение нагрузки. Успех коммерческого сайта в немалой степени завит от построения гибкой и устойчивой к сбоям системы. Использование механизма распределения нагрузки не только позволит увеличить производительность сайта и его доступность для пользователей, но и автоматически способствует защите от DDoS. Например, можно воспользоваться решением Akamai Technologies (Www. akamai. com). Распределение поступающих запросов между несколькими взаимозаменяющи — ми системами увеличивает устойчивость сайта к DDoS-нападениям. Входящая (ingress) и исходящая (egress) фильтрация. Уменьшает потенциальную угрозу появления в вашей сети зомбированного компьютера. В лучшем случае входящая фильтрация должна производиться и на серверах вашего провайдера, что поможет в ранней идентификации DDoS-сетей. Строгая конфигурация межсетевых экранов. Как правило, серверы, доступные из Internet, должны размещаться в демилитаризованной зоне. Кроме того, модификации правил экранирования должны жестко контролироваться. Исходящие ICMP-пакеты Timestamp, Timestamp Reply, Information Request, Information Reply и Time Exceeded должны отфильтровываться межсетевым экраном. Обычная практика заключается в том, чтобы на начальном этапе разрешить обращения только к 80-му порту Web-сервера, а в дальнейшем устанавливать дополнительные правила по мере необходимости. Старайтесь использовать защитные механизмы сетевых экранов, такие как буферизация ТСР-соеди — нений и обнаружение злонамеренных действий. Активизируйте системы протоколирования (даже несмотря на то, что во время атаки это может сильно отразиться на производительности компьютера).
Защита периметра. Входящий и исходящий трафик периметральных устройств должен подчиняться определенному набору прав доступа. Причем ограничения по использованию протоколов и портов не должны конфликтовать с правилами экранирования сети. Используйте защитные механизмы этих устройств (например, для маршрутизаторов Cisco — опция TCP Intercept).
