[19] DDoS mají vlastnost, že se současně vede útok na omezený počet adres. Útočníků je prostě více než cílů. To znamená, že pokud během útoku odpojím část IP rozsahu, který se podílí na útoku a ihned po jeho ukončení ten rozsah zase povolím, tak nedojde k trvalému blokování "Všichni všechny".
Stačí rozdělit buffer připojení na několik (N) sekcí, které se budou zaplňovat samostatně - podle IP rozsahu a případně tyto sekce ještě dynamicky zjemňovat. Při útoku je příslušná sekce přeplněna a systém je nedostupný z odpovídajícího IP rozsahu a na jiné adresy útok vliv mít nebude. Po ukončení útoku se ta část bufferu přirozeně uvolní a opět začne fungovat.
Stát by mohl uzákonit povinnost ISP ověřovat adresy paketů od nich odcházejících a pokud nejsou jejich, tak aby je zahazovali. Pokud budou mít chybu v konfiguraci, měli by ji po upozornění do zákonem stanovené doby napravit. Současně by se dal distribuovat uživatelům program "prověř svého ISP", který odešle paket s podvrženým odesilatelem na konkrétní server a tak se ověří, zda ISP aspoň trochu splňuje nebo ne.
Petr Závodský se zabývá QA, testováním a bezpečnosti IT. Před touto prací se živil jako penetrační tester, vývojář, tester SW, pozorovatel meteorů, dělník. Je nadšenec OWASP a speciálního astronomického vzdělávání.
