Predem chci rici, ze jsem hledal i zde na foru, odpoved na mou otazku. Nasel jsem jedno tema, ale spise se zde polemizovalo, jak by se to dalo resit, ale konkretni naznak funkcniho reseni jsem nenasel. Uvedu clanek z jednech stranek a prosil bych vsechny o pripadne navrhy (funkcne overene), jak blokovat dos utoky a to co bude popsano v clanku (tj. ošetřením routeru proti záplavě SYN packetů tak, aby byly vyrizovány bez problému pozadavky na data a ne na x ty pokus, jak se to nekdy stava) .
CITACE ze stránek, na ktere jsem narazil pri brouzdani webem (nejedna se o mnou vytvoreny clanek):
V průběhu uplynulých 2 měsíců jsme provedli upgrade/přenastavení všech našich routerů tak, aby byly odolnější vůči virovým útokům typu "Záplava SYN packety (viz článek na toto téma)".
Při upgradu jsme si neuvědomili, že problém se může týkat i routeru, který směruje náš provoz do internetu, a který byl původně takovýchto útoků ušetřen. Bohužel, s výskytem nových virů, které provádí tyto útoky nejen v rámci lokální sítě, ale i směrem ven do internetu, se situace změnila. Příznaky byly typické pro tento útok - zatímco linka do internetu je téměř nevyužitá a na fyzické (datagramové) vrstvě funguje vše bezvadně, na vrstvě IP dochází v určitých denní dobách k velké ztrátovosti packetů. Pro odhalení závady je potřeba "trefit" dobu, kdy k tomuto dochází, a chvíli sledovat síový provoz.
Včera jsme proto upravili i nastavení routeru (směrovače) provozu do internetu. Poznat byste to měli všichni - ani ne tak na rychlosti stahování, jako spíše na zrychlení doby odezvy např. při brouzdání po WWW. Je to dáno tím, že router zaplavený virovými SYN packety nestíhá vyřizovat legitimní požadavky, takže protokolu TCP se podaří požadované data stáhnout až na 2.-3. pokus (tj. s určitým zpožděním).
Ošetřením routeru proti záplavě SYN packetů spočívá v úpravě nastavení TCP/IP protokolu tak, že router je schopen "ustát" útok od více zavirovaných počítačů.
Nicméně ještě jednou opakuji - dokonalé řešení proti tomuto útoku (a dalším útokům typu DoS) na straně síové infrastruktury neexistuje! Router je sice schopen ustát útok od více počítačů, ale "kalich jeho trpělivosti" může opět přetéct, pokud naroste počet zavirovaných počítačů, popř. pokud se objeví vir s ještě efektivnějším algoritmem útoku! atd. atd.