Bedrijven hoeven niet meer bang te zijn voor DDoS-aanvallen op hun netwerk, althans, als we McAfee mogen geloven. De security aanbieder gebruikt een nieuwe techniek die dit soort aanvallen effectief zou moeten bestrijden.

In tegenstelling tot conventionele DDoS detectie systemen, gebaseerd op een statische analyse van het verkeer, gebruikt de eerste laag van het Advanced Botnet Protection (ABP) intrusion-prevention system (IPS) een proxy om verkeer te blokkeren of door te laten, afhankelijk of het "compleet" is of niet.

DDoS-aanvallen worden meestal uitgevoerd door zombie PC's die een webserver met een grote hoeveelheid incomplete SYN pakketten bestoken. Het is moeilijk om dit verkeer te stoppen als het systeem geen onderscheid tussen legitiem en kwaadaardig verkeer kan maken of de bron kan identificeren.

Veel IPS systemen proberen ook het aantal verbindingsprogingen te achterhalen, iets wat zelf ook het slachtoffer van een aanvaller kan worden. In dit geval zou de server met niet legitieme "ACK" (acknowledgement) pakketten bestookt kunnen worden, als antwoord op het SYN verkeer. Het ABS gebruikt hiervoor een Linux encryptie methode, genaamd “SYN cookies”. De nieuwe module is sinds december als een gratis software upgrade voor alle klanten van IntruShield intrusion prevention appliances. (ComputerWorld)