Det finns inget 'säkert' skydd mot (D)DOS-attacker. Är man ansluten via en klenare linje än vad angriparen kan prestera så har man problem. Dock: det går både att vidta förebyggande åtgärder och att försöka begränsa skadan vid ett anfall.
Katastrof-version av webbserver: Man kan ha en mycket förenklad version av myndighetens webbserver som bara innehåller den mest väsentliga informationen och inte har några bilder etc.
Dimensionera kritiska system tillräckligt. Om de redan i normalläget går på knäna så behövs inte mycket för att de ska sänkas av en DOS-attack.
Se till att lämpliga verktyg (tcpdump, brandmur etc) finns installerat.
Se till att operativsystenet har stöd för SYN-cookies att kunna slås på vid behov. I exempelvis linux så ska
CONFIG_SYN_COOKIES=y i konfigurationen av kärnan. Vid en attack kan man göra: echo 1 > /proc/sys/net/ipv4/tcp_syncookies Observera att detta endast ska vara påslaget vid en aktiv attack!
Se till att kärnvariabeln tcp_fin_timeout (motsvarande) inte är för högt satt. Annars så kommer halvstängda sessioner att hänga kvar onödigt länge. 30-60 sekunder kanske kan vara lagom.
Man kan ev öka på kärnvariabeln för max_tcp_syn_backlog så att fler påbörjade sessioner kan hanteras. Det är dock
lite tveeggat, kan hantera smärre attacker men vara till men vid större.
Försök förstå vad som händer. tcpdump är din bästa vän.
Om attacken kommer från ett begränsat antal ipnummer/nät kan den begränsas genom filter på drabbad maskin / i lokal router / i gränsrouter / ISP (Sunet).
Om den har andra specifika kännetecken så kan man filtrera m.a.p. dessa, ev. utnyttjande 'ratelimit' för att inte i onödan döda legal trafik. Exempelvis så kan en udp-attack ha viss paketlängd etc. Icmp kan normalt 'ratelimit'as utan större problem.
Dokumentera attacken! Ofta varar den inte länge, men kan komma tillbaka. Logga trafiken, meddela exvis SUNet CERT och be om hjälp att meddela isp:er för deltagande maskiner. Ofta är dessa smittade av trojaner etc och kan rensas.
Om ni har stora problem, hör av er till SUNet CERT för diskussion om vad som kan göras.