Методы защиты в большей степени зависят от пользователя
1. Постоянно следить за обновлениями ПО и обнаружением новых "дыр" в используемом ПО.
2. Скоординировать свои действия с поставщиком услуг интернета и поставить ограничение на входящий трафик.
3. Быть готовым в любой момент отразить DoS атаку и принять необходимые меры по устранению её последствий.
4. Проверять все компьютеры в сети, т.к. их чаще взламывают чем сам сервер.
5. Закрыть неиспользуемые и ненужные порты.
6. Установить FireWall, желательно FireWall-1, т.к. практически все хакеры стараются обходить его стороной из-за многопротокольной проверки пакетов с так называемым учётом состояния протокола (SMLI).
7. Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
8. Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
9. Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.
10. Блэкхолинг – отражение всего поступающего на атакуемый IP-адрес трафика. Заключается в отключении доступа к IP-адресу. Эта мера защиты является наименее затратной, позволяет защитить инфраструктуру сети (другие объекты сети), но при этом парализует работоспособность атакуемого IP-адреса, ресурс становится недоступным. Поэтому это средство не является оптимальной мерой защиты.
11. Мониторинг и анализ трафика, протоколов – выявление аномалий трафика путем сравнения с зафиксированным в течение определенного времени поведением, обнаружение ошибочных соединений, неполных транзакций и ошибок в заголовках протоколов. Этот класс статистических методов, самообучающихся на валидном трафике, позволяет блокировать паразитный трафик на уровне пакетов. Данная мера противодействия требует внедрения дорогостоящих программных и аппаратных средств.
12. Перенаправление DNS и использование прокси. Вы можете прописать в DNS IP адреса сети компании Prolexic. Допустим прописать, что ваш WEB сервер стоит на IP адресах Prolexic. В итоге атака будет направляться в их сеть, трафик DDoS будет отрезаться, а нужный трафик с вашего WEB сайта при помощи обратного прокси доставляться всем клиентам. Этот вариант очень подходит Интернет банкам, Интернет магазинам, онлайн-казино или электронным журналам. Вдобавок прокси позволяет кешировать данные.
13. Обратный DDOS - перенаправление трафика, используемого для атаки, на атакующего.
14. Устранение уязвимостей. Не работает против флуд-атак, для которых «уязвимостью» является конечность тех или иных системных ресурсов.
15. Наращивание ресурсов. Абсолютной защиты естественно не дает, но является хорошим фоном для применения других видов защиты от DoS-атак.
16. Рассредоточение. Построение распределённых и дублирование систем, которые не прекратят обслуживать пользователей, даже если некоторые их элементы станут недоступны из-за DoS-атаки.
17. Уклонение. Увод непосредственной цели атаки (доменного имени или IP-адреса) подальше от других ресурсов, которые часто также подвергаются воздействию вместе с непосредственной целью атаки.
18. Активные ответные меры. Воздействие на источники, организатора или центр управления атакой, как техногенными, так и организационно-правовыми средствами.
19. Использование оборудования для отражения DoS-атак. Например DefensePro® (Radware), Периметр (МФИ Софт), Arbor Peakflow® и от других производителей.
20. Приобретение сервиса по защите от DoS-атак. Актуально в случае превышения флудом пропускной способности сетевого канала.