In de berichtgeving over de DDoS aanvallen door Wikileaks fans, kwam naar voren dat er niets tegen te doen zou zijn. Dat is echter niet het geval. Er zijn inmiddels meerdere technische voorzieningen beschikbaar die het serverpark beschermen tegen DDoS aanvallen.

De appliances die worden ingezet tegen DDoS aanvallen, passen verschillende technieken toe. Veel toegepast is de deep-packet inspection. De site blijft dan beschikbaar voor welwillende bezoekers, maar omdat deze oplossing zeer rekenintensief is, treden er wel aanzienlijke vertragingen op. Een andere oplossing is anomaly detection waarbij de appliance eerst leert wat het normale verkeerspatroon is. Na een of twee weken draaien heeft zich een effectieve oplossing gevormd tegen DDoS aanvallen, maar helaas ook tegen bezoekerspieken en ander bezoekersgedrag dat buiten de norm valt. Welwillende bezoekers worden dan beschouwd als onderdeel van een DDoS aanval en krijgen geen toegang tot de betreffende site.
Een derde techniek is die van het samplen van het verkeer zodat een beeld ontstaat waar het verkeer vandaan komt. Als er dan een DDoS aanval gaande, is, wordt dat snel duidelijk zoals bijgaande afbeeldingen laten zien.


Deze techniek is ontwikkeld en gepatenteerd door RioRey. Zodra een afwijking van een normaal verkeerspatroon wordt gedetecteerd, beoordeelt RioRey de packets met een of meer algoritmes, bijvoorbeeld:

1. Malformed packet header
   
2. IP Syntax checker
   
3. TCP Syntax checker
   
4. HTTP Syntax checker
   
5. Randomness checker
   
6. Rate Monitor
   en nog vele andere.

Rapid response unit
Deze checks worden parallel verricht op een hardware platform met multi-chip, multi-core en multiprocessors. Hierdoor worden de packets met een minimale vertraging (heel lage latency) behandeld. Deze aanpak zorgt er ook voor dat RioRey als enige tijdens een DDoS aanval kan worden ingezet. De appliances begint al binnen 30 tot 90 seconden na installatie met filteren. Om die reden heeft Quanza, de exclusieve distributeur van RioRey in de Benelux, rapid response units beschikbaar. Na een telefoontje wordt de RioRey ogenblikkelijk naar de getroffen organisatie gebracht en geïnstalleerd.
De RioRey appliances worden in-line geplaatst, bij voorkeur tussen internet en de webservers. En ook vóór de firewall, want het is ondertussen vaak genoeg voorgekomen dat de firewall al onderuit ging, voordat de webservers echt last van de aanval kregen. Alle RioRey appliances zijn uitgerust met 1Gbps koper, of fiber (SX, LX) interfaces. De grotere RioRey appliances werken alleen met 10Gbps fiber (SR, LR). De vereiste throughput van de box ingeval van een DDoS aanval, is maatgevend voor het model dat moet worden aangeschaft.

Eigen, gepatenteerde, techniek
De eigen, gepatenteerde techniek van RioRey is erop gericht een website die under-attack is, beschikbaar te houden voor niet-kwaadwillende gebruikers. Out-of-the-box is de filtering dus behouden, hierdoor is het mogelijk dat een klein deel van de attack-traffic op het achterliggende serverplatform terechtkomt. Dit is echter zo weinig, dat de serverinfrastructuur dit nog wel aankan.

Voorkomen is beter dan genezen
Helaas wordt er maar al te vaak een beroep gedaan op onze rapid response units. Want de schade van de DDoS is aanzienlijk. Niet alleen ligt de site plat met alle directe schade en gemiste omzet van dien, daarna is er blijvend verlies doordat bezoekers die geen toegang kregen, voortaan naar de concurrent gaan of anderszins geen gebruik meer maken van de diensten. Veel professionele organisaties laten het daarom niet zo ver komen en installeren RioRey als preventie tegen DDoS aanvallen.