Como você diminui a participação de clientes de rede local no DDOS?

Geralmente, os roteadores de borda (AFAIK) são usados como uma solução para proteger os ataques DDOS de entrada .

Para impedir que os clientes internos "participando inadvertidamente" em um ataque de saída , eu consideraria as formas pelas quais um DDOS pode "envolver" seus clientes.

Por exemplo, buracos no WordPress são frequentemente usados; por isso, se seus clientes são servidores Web que executam o WordPress, mantenha-os atualizados (e / ou um WAF na frente deles). Certifique-se de que suas políticas de segurança sejam sensatas, mantidas e aplicadas - vi muitas caixas comprometidas e silenciosamente usadas como partes de ataques DDOS. O monitoramento da integridade de arquivos é sensível e regular (melhor automatizado!) Monitoramento de contas de usuário do sistema, etc.

Se seus clientes são desktops / laptops, então as regras de firewall antivírus e sane (locais) são um começo óbvio, além de bloquear qualquer coisa insano em sua camada de comutação central ( Frequentemente, a transmissão é necessária para uma grande variedade de coisas e provavelmente parte de um DDOS - elas geralmente são direcionadas ["uni" cast], mas sua rede realmente precisa passar tráfego UDP > porta 1000? Ou pacotes ICMP com um carga útil grande ou a uma taxa > 10 por segundo por porta?) ajudará.

O treinamento e a restrição do usuário também são sensatos - quem acessou esses dispositivos? Eles podem instalar o que quiserem de onde quiserem?

Finalmente, apenas um pequeno monitoramento sensato da taxa de transferência da rede. Nós usamos o Zabbix, mas há muitas opções por aí. Eu peguei mais de uma tentativa de DDOS de saída devido a um súbito pico inexplicável na E / S da rede ... Um pouco de cuidado ao configurar alertas quando as coisas saem do que você considera "normal" por um período prolongado de tempo é raramente uma má ideia.

Esta não é exatamente uma resposta para sua pergunta, mas eu indico os erros em suas soluções em sua pergunta.

O DDoS não envolve pacotes de transmissão, já que existe apenas um alvo para o ataque deles.

O bloqueio da resolução do host do servidor DNS também é inútil, os ataques DDoS também podem usar endereços IP.

Além disso, ataques DDoS são feitos contra serviços conhecidos, então você teria que bloquear o domínio desse serviço de ser resolvido no servidor DNS, o que bloquearia usando esse serviço.

Além disso, você não pode saber de antemão qual domínio será um alvo DDoS. Portanto, você precisaria bloquear a resolução de todos os domínios.

Verifique se o seu computador está atualizado e usando um antivírus.

A maioria dos ataques de botnets vem do vírus / malware instalado que o usuário remoto controla para iniciar um ataque, portanto, o usuário final quase nunca sabe que está participando de um ataque.

Primeiramente, certifique-se de não permitir que pacotes com endereços de origem falsos deixem sua rede. Se o invasor puder enviar pacotes falsificados, eles poderão cobrir melhor suas trilhas e executar ataques "refletidos".

O método usual para impedir que seus clientes de LAN se comportem mal é negar a eles o acesso irrestrito e direto à Internet.

Você fornece substitutos locais para o acesso comum aos serviços online (ou seja, fornece ao DNS um servidor de nomes em cache, uma fonte de tempo local NTP, um retransmissor etc. etc.) que você pode monitorar e configurar com razoável por usuário) políticas de uso. Fornece acesso à Internet maior somente por meio de um servidor proxy HTTP e requer autenticação para isso.

Se o acesso direto à Internet ainda for necessário, coloque na lista de permissões somente conexões específicas.