Administratorzy ośrodków webowych mogą używać technik filtracji pakietów na routerach IP dla zapewnienia podstawowej kontroli ruchu, ale działania te często obniżają znacznie wydajność tych routerów do poziomu, który jest nie do przyjęcia, i w związku z tym nie zdają egzaminu w eliminacji wielu powszechnych ataków typu DoS. Tradycyjne zapory ogniowe mogą działać jako punkty graniczne dla adresów IP, używając techniki NAT (Network Address Translation), zabezpieczającej przed atakami DoS metodą ograniczania ruchu do specyficznych portów IP lub pochodzącego od specyficznych adresów sieciowych. Jednak takie systemy były projektowane pod kątem ograniczenia wejść do systemów, co stoi w "ideologicznej" sprzeczności z powszechnością dostępu w Internecie. Poza tym tradycyjne zapory ogniowe nie są w wystarczający sposób skalowalne w stosunku do ruchu, jakim charakteryzują się współczesne środowiska webowe. W tej sytuacji potrzebne są rozwiązania zapewniające ochronę ośrodka webowego oraz pomocniczy system ochrony "drugiej linii", zapewniający odpowiedni poziom ochrony bez obniżania wydajności i skalowalności usług ośrodka.

Ochronę ośrodka webowego można zapewnić na poziomie przełączników sieciowych, których zadania to:

• Zapobieganie atakom DoS przez sprawdzanie inicjacji każdej sesji i eliminowanie ataków DoS poziomu sieciowego.

• Świadczenie usług zapory ogniowej w zakresie filtracji adresów IP, portów TCP, typów plików oraz pełnych adresów URL.

• Translacja adresów sieciowych - funkcje NAT "zaszyte" na przełącznikach efektywnie przykrywają rzeczywiste adresy IP węzłów zlokalizowanych wewnątrz sieci - poza przełącznikami, takimi jak serwery webowe i bufory webowe, eliminujące w ten sposób możliwość ataku hakerów bezpośrednio przy użyciu adresów IP.

Ochrona drugiej linii to między innymi wewnętrzne zapory ogniowe realizujące pełniejszy zakres ochrony dla ruchu pochodzącego z Internetu lub ochrony wewnętrznych systemów czy sieci o strategicznym znaczeniu dla ośrodka. W celu rozładowania ruchu przełączniki z pierwszej linii ochrony mogą rozpraszać ruch na szereg wewnętrznych zapór ogniowych, zwiększając w ten sposób ich sumaryczną przepustowość.

Ataki typu DoS

Atak typu DoS łączy w sobie niewłaściwe użycie standardowych protokołów lub procesów połączeń z intencją przeciążenia lub zablokowania działania serwera webowego będącego celem ataku. Typowe przykłady ataków DoS to:

• Finger of Death - atak polegający na wysyłaniu zleceń FINGER do określonego komputera w regularnych odstępach (najczęściej co minutę). Nieudane próby zakończenia połączenia mogą szybko przeciążyć system, doprowadzając do praktycznego zawieszenia innych usług.

• TCP SYN Floods - atak polegający na "zasypaniu" komputera zleceniem połączenia (pakiet SYN) bez konsekwentnego kończenia tej procedury, co powoduje przyrastanie po stronie odbierającej nie zakończonych procesów nawiązywania połączenia TCP, powiązanych z przydziałem odpowiednich bloków sterujących TCP do każdego z nich, co szybko prowadzi do wyczerpania zasobów.

• Smurf lub Fraggle - ataki polegające na wysyłaniu dużej liczby pakietów PING do adresów okólnikowych IP, z podaniem, w polu adresu źródła pakietu, adresu atakowanego komputera. Urządzenie trasujące przekazuje pakiet do wszystkich adresów objętych okólnikiem, wykonując funkcje rozgłaszania IP poziomu drugiego, po czym hosty w sieci odbierające pakiet echa wysyłają odpowiedź na to echo - oczywiście pod adresem źródła. W ten sposób zaatakowany komputer odbierze potwierdzenie na nie swoje zapytanie i to zwielokrotnione przez liczbę hostów, które odebrały i potwierdziły odbiór echa. Fraggle różni się od smerfa tym, że używa echa UDP (datagramowego).

Podstawowe metody ochrony ruchu

Generalną zasadą jest to, że przełącznik sieciowy powinien odrzucać wszystkie ramki pakietów wykazujące odchylenia od normy, takie jak: za mała długość ramki, kiedy adres źródłowy IP jest taki sam jak adres przeznaczenia lub adres źródłowy jest jednym z adresów używanych w sieci odbierającej itp. Każdy ruch inicjowany przez więcej niż 8 pakietów SYN powinien być kończony przez zablokowanie przetwarzania pakietów SYN pochodzących z tego samego źródła i mających te same początkowe numery sekwencyjny oraz te same adresy źródła i przeznaczenia. Eliminuje to ataki DoS oparte na pakietach SYN.

Translacja adresów (NAT) polega na przykrywaniu adresów IP wszystkich urządzeń wewnątrz sieci (poza przełącznikiem), co pozwala na używanie tysięcy nie limitowanych, prywatnych adresów IP, odwzorowywanych w jeden lub kilka zewnętrznych, wirtualnych adresów IP (VIP), opartych na przydzielonych globalnych adresach IP. Technika NAT ma również duże znaczenie w zarządzaniu własnymi adresami IP, ogranicza bowiem konieczność rezerwacji dodatkowych adresów globalnych w przypadku rozszerzania sieci. NAT opiera się na standardach przemysłowych, opisanych w RFC 1631.

Zapory ogniowe pierwszej linii mogą filtrować ruch na podstawie adresu źródłowego IP, adresu docelowego IP, URL, typu przenoszonego pliku. Reguły blokowania ruchu na zaporze ogniowej pierwszej linii powinny uniemożliwiać przekazywanie określonej zawartości do serwerów lub buforów podręcznych.

Zapory ogniowe drugiej linii chronią zazwyczaj bezpośrednio serwery webowe, serwery zaplecza baz danych i aplikacyjne. Są to zapory typu stateful inspection, filtrujące ruchu w oparciu o kryteria aplikacyjne.