Систематические проверки узлов вашей сети на предмет их потенциального участия в проведении атаки. Фильтрация исходящего трафика ограничит возможность компрометации узлов вашей сети и последующего использования их в нападении. Очень важно убедиться в том, что все компьютеры, доступные из Internet, снабжены самыми современными средствами защиты. Здесь могут пригодиться утилиты, о которых мы поговорим немного позже: find_ddos, RID и Zombie Zapper.
Противодействие DDoS и всякого рода профилактические меры должны рассматриваться с точки зрения соотношения «риск — затраты на контрмеры». Прежде чем начать планирование работ по этому направлению, попробуйте задать себе или коллегам некоторые вопросы, касающиеся деловой активности вашей организации Если сайт вдруг начинает отказывать в обслуживании своих клиентов, это еще не означает, что произошло нападение со стороны враждебно настроенных хакеров. Чаще сетевая служба поражается вполне легальным способом, а именно благодаря большому объему трафика, создаваемого посетителями вашего сайта. В результате возникает «отказ в обслуживании» для части ваших клиентов. Такую ситуацию справедливо можно назвать DoS, но это не атака. Докладывая руководству об инциденте, будьте предельно внимательны. Можно ошибиться, идентифицируя последствия DoS в качестве последствий злонамеренных действий. А если вы часто будете давать ложную тревогу, коллеги сделают соответствующие выводы о вашей некомпетентности. В последнее время производители программного и аппаратного обеспечения, так же как и персонал коммерческих сайтов, уделяют все больше внимания проблемам DDoS. Для достижения видимого эффекта злоумышленнику необходимо создать сравнительно большую сеть скомпрометированных компьютеров. Для нахождения слабых с точки зрения защиты компьютеров, на которые можно установить программу-демон, хакеры используют автоматические средства сканирования сети. Следы автоматического сканирования в общем случае заметны и являются своеобразным предупреждением для администратора. Контрмеры, направленные на предупреждение DDoS, обычно предполагают Исходящую фильтрацию специально измененных адресов и Входящую фильтрацию широковещательных пакетов.
