Ciekawym przykładem narzędzia, które może zablokować serwisy korzystające z SSL, ale stosujące inną niż zwykły flooding technikę - jest THC-SSL-DoS. Zostało ono stworzone przez niemiecką grupę The Hackers Choice (THC) i wykorzystuje rzadko stosowaną funkcję SSL, tj. renegocjację SSL. Sam typ ataku jest stary jak świat (znany co najmniej od 2003 r.), ale został skutecznie wykorzystany prawdopodobnie podczas ataków w 2010 r. na system Mastercard. Warto zauważyć, że jeżeli renegocjacja SSL jest włączona do ataku, wystarczy zaledwie jeden laptop. THC twierdzi, że nawet jeżeli wyłączymy tę funkcjonalność, narzędzie w dalszym ciągu może być skuteczne. Potrzeba wtedy większej liczby komputerów: " […] wywrócenie farmy serwerów wykorzystujących load balancery SSL wymaga zastosowania 20 przeciętnych laptopów i łącza 120 Kb/s" - twierdzi jeden z członków THC.

Czy przed tym atakiem możemy się skutecznie obronić? Najprostszym sposobem jest wyłączenie renegocjacji SSL, co może wcale nie być takie łatwe, zwłaszcza jeżeli robimy to w OpenSSL. Możemy też ograniczyć liczbę nawiązywanych "handshake-ów" SSL. Wreszcie, mając nadmiar gotówki, możemy kupić akceleratory SSL, dobre load balancery lub drastycznie zwiększyć moc całego serwera.

Techniki ochronne i narzędzia obrony

Można śmiało stwierdzić, że nie ma 100-proc. pewnej ochrony przed DDoS. Są jednak sposoby na ograniczenie ryzyka i zmniejszenie skali.

Pewien ogólny problem w powstrzymywaniu ataków DDoS stanowi trudność w namierzeniu ich faktycznego źródła, bo choć wiele z nich wygląda na pochodzące z łatwych do odgadnięcia regionów świata, czyli Chin (najbardziej aktywne to strefy AS 4134 i AS 4837), Indii czy Ukrainy, to równie często mamy do czynienia ze sfałszowanymi adresami (na szczęście, nie zawsze). To rodzi problem wiarygodności i zmniejsza skuteczność reakcji. Umożliwia jednak blokadę regionów, z których w ogóle nie chcemy otrzymywać ruchu.

Problemem jest również zmiana wektora ataku. Jak pokazaliśmy na przykładzie LOIC, możliwe jest przeprowadzenie go nie tylko z komputera, lecz także z urządzenia mobilnego. Łączenie technik ataków również nie ułatwia ich zwalczania. Co gorsza, w pewnych sytuacjach (co pokazują badania np. przeprowadzone przez Arbor) tradycyjne rozwiązania ochronne, takie jak IPS-y, mogą działać przeciwko nam. Podczas ataku DoS/DDoS mogą niewłaściwie interpretować ruch, tworząc wiele fałszywych alarmów, blokując jednocześnie prawidłowe żądania dostępu, które nie stanowią zagrożenia. Nie oznacza to, że IPS-y powinny pójść w odstawkę - nowoczesne IPS-y mają mechanizmy pozwalające na ograniczenie skali ataku, jeżeli są dobrze skonfigurowane. Należy jednak mieć świadomość ich ograniczeń. Potwierdza to również przywołany wcześniej raport Radware. Wynika z niego, że wąskim gardłem podczas ataków DoS w 24% przebadanych przypadków okazały się zapory ogniowe, a w 8% - IPS-y.

Obrona przed prostymi (ale na razie najczęstszymi) atakami typu brute-force jest możliwa poprzez wykorzystanie tradycyjnych metod, czyli filtrowanie pakietów, czy użycie coraz bardziej rozwiniętych funkcji "rate limiting". Możliwe jest również zrobienie użytku z faktu, że typowe ataki DDoS to pewne, przewidywalne wzorce zachowań, zwłaszcza jeżeli mówimy o atakach wysoko wolumenowych. Przygotowując się do ochrony przed nimi, możemy je opisać w postaci sygnatur. Przykładowo, możemy znaleźć reguły dla SNORT-a (dobrze opisane np. przez SpiderLabs), które skutecznie wykrywają wszystkie typy ataków przeprowadzanych za pomocą LOIC. Na marginesie warto dodać, że jakiś czas temu powstała modyfikacja LOIC o nazwie HOIC (High Orbit Ion Cannon), której celem miała być zmiana metod ataków (wprowadzenie dynamiki), co miało utrudnić ich identyfikację za pomocą standardowych metod. Modyfikacja polegała na wykorzystaniu tylko ataków http oraz możliwości podłączenia skryptów (tzw. boosters). Niemniej jednak, w dalszym ciągu występują tutaj elementy wspólne, które mogą posłużyć do opisania ataku. Zawsze metodą ochrony (choć najbardziej kosztowną i najmniej praktyczną) pozostaje również rozbudowa zasobów. Częściowo skuteczne, zwłaszcza w przypadku ataków aplikacyjnych, mogą być CDN-y (Content Delivery Network). Częściowo, ponieważ mogą zostać oszukane przez odwoływanie się do treści dynamicznych, które nie mogą trafić do cache’u.