Хорошо настроенная IDS позволит системному администратору вовремя обнаружить активность зомби или мастер-компьютеров. Старайтесь использовать как локальные, так и сетевые IDS.
Сканер уязвимостей. Кроме упомянутой IDS, крайне важно задействовать систему автоматического сканирования уязвимостей. Отчеты программы-сканера позволят вовремя обнаружить бреши в обороне. Не забывайте о том, что базы данных уязвимостей (как для IDS, так и для сканеров) должны регулярно обновляться. Proxy-серверы. Соединение локальной сети с Internet через ргоху-сер — вер значительно понижает риск DDoS-нападения. И даже если такая атака состоится, практика показывает, что proxy-сервер — хороший источник информации о нападении.
Резервное сохранение и контрольные проверки целостности существующих конфигураций. Полезно централизовать процесс резервного копирования конфигурационных файлов. Кроме того, на отдельных узлах следует регулярно, по расписанию, производить проверки целостности данных. Это позволит администратору оперативно выявить внесенные хакером изменения в системных настройках. Для ОС Unix можно воспользоваться программой Tripwire Узлы-ловушки. Установка отдельных узлов, служащих для изменения направления атаки или для сбора информации о злоумышленнике, — непростая задача, требующая всестороннего изучения. Например, сможете ли вы ответить на вопрос о том, сколько времени и ресурсов необходимо выделить на обработку полученной информации? Не привлечет ли эта ловушка внимание потенциальных взломщиков? Мониторинг потребляемых сетью и узлами ресурсов, без сомнения, позволяет с достаточно высокой точностью выявлять эффекты присутствия DDoS; Распределение ответственности. Вы должны быть заранее готовы к отражению DDoS и знать возможности имеющихся в распоряжении систем IDS, межсетевых экранов и маршрутизаторов. Также немаловажно иметь представление о том, что именно делает ваш ISP-провайдер для предотвращения и отражения DDoS. Можете задать ему несколько вопросов, ответы на которые внесут некоторую ясность: В результате изучения подобной информации вы сможете разработать подробную инструкцию, описывающую действия, направленные на отражение DDoS-атаки.
