Malicious TCP
2.7.1.4. Chuẩn bị ứng phó với tấn công:
đáp trả lại cuộc tấn cơng, u cầu phải nhanh chóng phát hiện và nhận dạng chính xác lưu lượng nào là lưu lượng tấn công để mà lọc nó và giới hạn tốc độ của nó. Phát hiện, nhận dạng và đáp trả có thể thực hiện bằng cách xấy dựng một hệ thống phịng chống DoS/DDoS hay cũng có thể mua những sản phẩm thương mại sẵn có trên thị trường.
Bạn sẽ chọn cho mình một kỹ thuật phịng chống và cấu hình sử dụng nó. Ví dụ, nếu bạn chọn giải pháp là tự động hồn tồn, một attacker có thể khai thác tính khơng xác thực (khơng sử dụng IPsec hay Encapsulation) trong hầu hết lưu lượng internet ngày nay. Giả sử, attacker biết được bạn đang sử dụng một kỹ thuật phòng chống DoS/DDoS nào đó có thể khơng giữ trạng thái những lưu lượng UDP, và bạn đã cấu hình nó để khóa tự động những gói tin UDP vào. DNS, hoạt động dựa trên các gói UDP, giả sử như attacker “phát” ra số lượng lớn các gói tin UDP khơng có thật, nó chứa một địa chỉ giả là địa chỉ của các nhà cung cấp dịch vụ DNS. Khi bạn cấu hình tự động ngăn các gói UDP này cũng đồng nghĩa với việc bạn đã ngăn cả những nhà cung cấp dịch vụ DNS thật sự.
Giải pháp hoạt động dựa vào hồn tồn cấu hình bằng tay cũng có những vấn đề của nó.Thường thì vấn đề về thời gian đáp ứng nhận dạng tấn cơng chậm, từ đó gây ra ngun nhân phịng chống chậm.
Xây dựng cho mình một hệ thống phòng chống DoS/DDoS riêng thường chỉ hỗ trợ đối với tổ chức mạng lớn với đội ngủ các chuyên gia bảo mật mạnh. Do đó vấn đề chọn cho mình một giải pháp tốt cần phải thận trọng phân tích cơ cấu tổ chức bên trong mạng, nên xây dựng một hệ thống riêng hay chỉ cần mua các sản phẩm hiện có là vấn đề rất quan trọng.
Đi cùng với các hệ thống phòng chống, các cơng cụ phân tích lưu lượng mạng cũng khơng kém phần quan trọng. Nó đánh giá hệ thống hoạt động bên trong tổ chức cũng như làm “bằng chứng” nói lên một kẻ tấn cơng nào đó về mặt pháp lý.