Большинство ссылок, которые я читал о смягчении последствий DDOS, связаны с граничными маршрутизаторами.
Однако есть ли что-нибудь, что вы можете сделать, чтобы уменьшить вероятность того, что ваши клиенты LAN неосознанно участвуют в DDOS?
Как блокировать широковещательные пакеты? Предполагается, что у вас нет клиентских приложений, которые законно используют широковещательные пакеты.
Или с помощью DNS-сервера, который может блокировать разрешение хоста для исходящего трафика с помощью общедоступных списков блокировки?
Это не совсем ответ на ваш вопрос, но я указываю на ошибки в ваших решениях в вашем вопросе.
DDoS не задействует широковещательные пакеты, так как существует только одна цель для их атаки.
Блокировка разрешения хоста DNS-сервера тоже бесполезна, DDoS-атаки могут использовать также IP-адреса.
Кроме того, DDoS-атаки совершаются против хорошо известных служб, поэтому вам придется заблокировать разрешение домена этой службы на DNS-сервере, что вообще заблокирует использование этой службы.
Кроме того, вы не можете заранее знать, какой домен станет целью DDoS. Поэтому вам необходимо заблокировать разрешение всех доменов.
Пограничные маршрутизаторы обычно (AFAIK) используются в качестве решения для защиты входящий DDOS-атаки.
Чтобы внутренние клиенты не «неосознанно участвовали» в исходящий атака, - я бы подумал, каким образом DDOS может "вовлечь" ваших клиентов.
Например, часто используются дыры в WordPress; поэтому, если ваши клиенты являются веб-серверами, на которых запущен WordPress, держите их исправленными (и / или WAF перед ними). Убедитесь, что ваши политики безопасности разумны, поддерживаются и соблюдаются - я видел слишком много ящиков, которые были скомпрометированы и незаметно использовались как часть DDOS-атак. Разумно осуществлять мониторинг целостности файлов, а также регулярный (даже лучше автоматизированный!) Мониторинг учетных записей пользователей системы и т. Д.
Если вашими клиентами являются настольные компьютеры / ноутбуки, то антивирус и здравомыслящий (локальные) правила брандмауэра - очевидное начало, плюс блокирование всего безумный вещи на вашем основном уровне коммутации (широковещательная передача часто необходима для самых разных вещей и, вероятно, даже для части DDOS - они обычно нацелены ["uni" cast], но действительно ли вашей сети требуется пропускать трафик UDP> порт 1000 ? Или пакеты ICMP с большой полезной нагрузкой или со скоростью> 10 в секунду на порт?) Помогут.
Также разумно обучение пользователей и ограничения - у кого есть доступ к этим устройствам? Разрешено ли им устанавливать все, что они хотят, откуда угодно?
Напоследок просто немного вменяемого мониторинга пропускной способности сети. Мы используем Zabbix, но есть масса вариантов. Я поймал более одной попытки исходящего DDOS из-за внезапного необъяснимого всплеска сетевого ввода-вывода ... Небольшая осторожность в настройке предупреждений, когда что-то выходит за рамки того, что вы считаете "нормальным" в течение длительного периода времени, редко бывает плохой идеей.
Убедитесь, что ваш компьютер обновлен и на нем установлен антивирус.
Большинство атак ботнетов исходит от установленных вирусов / вредоносных программ, которые удаленный пользователь контролирует для начала атаки, поэтому конечный пользователь почти никогда не узнает, что он участвует в атаке.
Прежде всего убедитесь, что вы не позволяете пакетам с поддельными адресами источника покидать вашу сеть. Если злоумышленник может отправлять поддельные пакеты, он может лучше скрывать свои следы и выполнять «отраженные» атаки.
Обычный способ предотвратить некорректное поведение клиентов локальной сети - отказать им в прямом неограниченном доступе в Интернет.
Вы предоставляете локальные заменители обычно необходимого доступа к онлайн-сервисам (например, предоставляете DNS собственный кэширующий сервер имен, локальный источник времени NTP, почтовый ретранслятор и т. Д.), Которые вы можете легко отслеживать и настраивать с разумными (для каждого пользователя) политики использования. Предоставляйте доступ к большому Интернету только через прокси-сервер HTTP и требуйте для этого аутентификацию.
Если прямой доступ в Интернет по-прежнему необходим, занесите в белый список только определенные подключения.