Malicious TCP
2.7.1.4. Chuẩn bị ứng phó với tấn công:
Lập kế hoạch ứng phó khi bất ngờ có một cuộc tấn công DoS xảy ra. Để đáp trả lại cuộc tấn công, yêu cầu phải nhanh chóng phát hiện và nhận dạng chính
xác lưu lượng nào là lưu lượng tấn công để mà lọc nó và giới hạn tốc độ của nó. Phát hiện, nhận dạng và đáp trả có thể thực hiện bằng cách xấy dựng một hệ thống phòng chống DoS/DDoS hay cũng có thể mua những sản phẩm thương mại sẵn có trên thị trường.
Bạn sẽ chọn cho mình một kỹ thuật phòng chống và cấu hình sử dụng nó. Ví dụ, nếu bạn chọn giải pháp là tự động hoàn toàn, một attacker có thể khai thác tính không xác thực (không sử dụng IPsec hay Encapsulation) trong hầu hết lưu lượng internet ngày nay. Giả sử, attacker biết được bạn đang sử dụng một kỹ thuật phòng chống DoS/DDoS nào đó có thể không giữ trạng thái những lưu lượng UDP, và bạn đã cấu hình nó để khóa tự động những gói tin UDP vào. DNS, hoạt động dựa trên các gói UDP, giả sử như attacker “phát” ra số lượng lớn các gói tin UDP không có thật, nó chứa một địa chỉ giả là địa chỉ của các nhà cung cấp dịch vụ DNS. Khi bạn cấu hình tự động ngăn các gói UDP này cũng đồng nghĩa với việc bạn đã ngăn cả những nhà cung cấp dịch vụ DNS thật sự.
Giải pháp hoạt động dựa vào hoàn toàn cấu hình bằng tay cũng có những vấn đề của nó.Thường thì vấn đề về thời gian đáp ứng nhận dạng tấn công chậm, từ đó gây ra nguyên nhân phòng chống chậm.
Xây dựng cho mình một hệ thống phòng chống DoS/DDoS riêng thường chỉ hỗ trợ đối với tổ chức mạng lớn với đội ngủ các chuyên gia bảo mật mạnh. Do đó vấn đề chọn cho mình một giải pháp tốt cần phải thận trọng phân tích cơ cấu tổ chức bên trong mạng, nên xây dựng một hệ thống riêng hay chỉ cần mua các sản phẩm hiện có là vấn đề rất quan trọng.
Đi cùng với các hệ thống phòng chống, các công cụ phân tích lưu lượng mạng cũng không kém phần quan trọng. Nó đánh giá hệ thống hoạt động bên trong tổ chức cũng như làm “bằng chứng” nói lên một kẻ tấn công nào đó về mặt pháp lý.