Dwa lata po głośnym incydencie z Yahoo, eBay i CNN zagrożenie nie maleje i ataki DoS są nadal powszechne. Istnieje kilka sposobów obrony przed atakiem DoS, ale zadaniem podstawowym jest przechwycenie takiego ataku.

Pojawienie się nowych technik ataku, takich jak Naphta i Reflective DoS, czyni proces ochrony sieci trudniejszym. Do ochrony przed atakami DoS konstruowane są specjalizowane urządzenia. Na rynku polskim są one jeszcze mało znane, postaramy się więc zaprezentować kilka takich rozwiązań i krótko je scharakteryzować.

Ponieważ usługodawcy internetowi (ISP) nie chcą zazwyczaj brać na siebie dodatkowych obciążeń i odpowiedzialności prawnej, związanych z zapewnieniem ochrony przed DoS, użytkownikom nie pozostaje więc nic innego jak uporać się z tym problemem we własnym zakresie - niezależnie od tego, czy są to losowe (Randomized DoS), rozproszone (Distributed DoS) czy reflektorowo rozproszone (Reflective DoS atack) ataki DoS.

Na rynku amerykańskim pojawili się dostawcy oferujący produkty zapewniające wykrywanie ataków DoS i próbujące przeciwdziałać ich skutkom. Produkty te reprezentują różne podejścia do problemu: sygnatury do wykrywania anormalnych zachowań, kontrolowanie całego ruch w sieci, tak zwane zawory sieciowe, aktywne, pasywne itp.

Captus CaptIO and CaptCC

W urządzeniu CaptIO and CaptCC firmy Captus zastosowano technikę Traffic Limiting Intrusion Detection System (TLIDS), która polega na definiowaniu reguł podobnych do stosowanych w zaporach ogniowych. Reguły te pozwalają określać, które protokoły mają być dopuszczane przez urządzenie, jaki ma być oczekiwany poziom ruchu i jakie natężenie pakietów SYN należy uznać za potok SYN (SYN flood). Efektywność działania urządzenia zależy od dokładności ustawienia poszczególnych progów. Firma nie zapewnia żadnego analizatora progów, ale za to udostępnia tzw. współczynnik dławienia, spowalniający połączenia i otwierający pasmo na przepuszczanie ruchu legalnego. Po wykryciu ataku urządzenie podejmuje akcję zdefiniowaną uprzednio przez reguły TLIDS i przekazuje informację do logu systemowego serwera.

Mazu Network Enforcer 5.2

Urządzenie firmy Mazu jest produktem przeznaczonym do walki z rozproszonym DoS (DDoS - Distributed DoS) metodą podglądania i oceny ruchu sieciowego. Enforcer jest umiejscowiony na froncie sieci; w wersji podstawowej ma trzy interfejsy. Dwa z nich są używane do monitorowania ruchu (jeden od strony Internetu, drugi od strony sieci wewnętrznej). Interfejsy te operują w tzw. trybie rozrzutnym, przechwytując i analizując cały ruch sieciowy. Interfejs trzeci jest przeznaczony do zarządzania urządzeniem.

Enforcer określa ramy ruchu typowego, analizując ruch sieciowy w okresach ustalanych przez użytkownika i poszukując charakterystyk przesyłanych pakietów, zwłaszcza takich jak czas życia i zawartość. Im dłuższy jest okres analizowania sieci, tym dokładniej mogą być określone ramy ruchu typowego. Enforcer analizuje ruch i alarmuje administratora, gdy ruch ten wykracza poza ramy ustalone przez użytkownika. Po zidentyfikowaniu ataku Enforcer rekomenduje filtry do zainstalowania na urządzeniu w celu usunięcia lub złagodzenia skutków ataku. Filtry te są typu "wszystko albo nic" i mogą równie łatwo wyeliminować legalny ruch użytkownika. Można jednak zdefiniować tzw. ruch zaufany, którego pakiety nie będą filtrowane. Dodatkowo przy pracy w trybie pasywnym Enforcer rekomenduje listę kontrolną dostępu (ALC), która powinna być zainstalowana na ruterach.

Po zainstalowaniu urządzenia jest niezbędne skonfigurowanie ram zwykłego ruchu, charakterystycznego dla danej sieci. Enforcer zawiera mechanizm Threshold Advisor - kreator wspomagający określanie ram ruchu typowego - pozwalający na automatyczne konfigurowanie progów takiego ruchu. Administrator może zmieniać te ustawienia ręcznie.

Dla ataków typu SYN flood można oddzielnie zdefiniować parametry kolejki SYN, które określają graniczną liczbę zleceń SYN przechowywanych w kolejce bez uzyskanej odpowiedzi. W sytuacji przepełnienia kolejki najstarsze połączenia są zamykane.