Web SPSSoftware

---

Úvod
Útok typu DoS (denial-of-service) nebo DDoS (distributed denial-of-service) je zákeřný pokus o narušení běžného provozu cílového serveru, služby nebo sítě zahlcením cíle nebo jeho okolní infrastruktury záplavou internetového provozu. Existuje několik typů útoků DDoS, například HTTP flood, SYN flood, DNS amplification atd.
Ochrana proti DDoS
Konfigurační linky

!	Varování:
	Tato pravidla jsou pouze vylepšením brány firewall, nezapomeňte své zařízení řádně zabezpečit: Vytvořte si svůj první firewall!

Vysvětlení konfigurace
Nejprve odešleme každé nové připojení do konkrétního řetězce brány firewall, kde zjistíme DDoS: Do nově vytvořeného řetězce přidáme následující pravidlo s parametrem "dst-limit". Tento parametr je zapsán v následujícím formátu: dst-limit=count[/time],burst,mode[/expire]. Budeme porovnávat 32 paketů s 32 pakety burst na základě toku cílové a zdrojové adresy, který se obnovuje každých 10 sekund. Pravidlo bude fungovat, dokud nebude překročena daná rychlost. Zatím by měl veškerý legitimní provoz procházet přes "action=return", ale v případě DoS/DDoS bude buffer "dst-limit" naplněn a pravidlo "nezachytí" žádný nový provoz. Zde přicházejí na řadu další pravidla, která se budou útokem zabývat. Začneme vytvořením seznamu pro útočníky a oběti na které provoz zahodíme: V části filtru firewallu přidáme útočníky do seznamu "DDoS-attackers" a oběti do seznamu "ddos-targets":


Útok SYN
Záplava SYN
SYN flood je forma útoku DoS, při kterém útočník posílá do cílového systému řadu požadavků SYN ve snaze spotřebovat dostatečné množství prostředků serveru, aby systém přestal reagovat na legitimní provoz. V systému RouterOS máme naštěstí pro takový útok specifickou funkci: Funkce funguje tak, že odesílá zpět pakety ACK, které obsahují malý kryptografický hash, který klient, který odpovídá, odešle zpět jako součást svého paketu SYN-ACK. Pokud jádro tento "cookie" v odpovědním paketu neuvidí, bude předpokládat, že spojení je falešné, a ukončí ho.


SYN-ACK Flood
SYN-ACK flood je metoda útoku, která spočívá v zasílání podvrženého paketu SYN-ACK cílovému serveru vysokou rychlostí. Server potřebuje značné prostředky na zpracování takových paketů mimo pořadí (ne v souladu s běžným mechanismem třícestného handshake TCP SYN, SYN-ACK, ACK), může být natolik vytížen zpracováním útočného provozu, že nezvládne zpracovat legitimní provoz, a útočníci tak dosáhnou stavu DoS/DDoS. V systému RouterOS můžeme nakonfigurovat podobná pravidla z dříve uvedeného příkladu, ale konkrétněji pro SYN-ACK flood: