Na ilustracji przedstawiono okno konfiguracji rutera. Wskaż opcję, która wpływa na zabezpieczenie urządzenia przed atakami DDoS.

Prawidłowa jest opcja „Filtruj anonimowe żądania dotyczące Internetu”, bo właśnie ona ogranicza widoczność rutera z zewnątrz i utrudnia przeprowadzenie skutecznego ataku DDoS. W praktyce oznacza to, że router nie odpowiada na pewne typy pakietów przychodzących z Internetu (np. ping/ICMP echo czy skanowanie portów), jeśli nie są one powiązane z istniejącą sesją lub zainicjowane od strony sieci lokalnej. Z punktu widzenia napastnika taki router jest „mniej atrakcyjnym celem”, bo trudniej go wykryć, zidentyfikować jego usługi i przygotować masowy atak zalewający. W wielu domowych i małych firmowych routerach ta funkcja jest opisana jako „Block Anonymous Internet Requests”, „Stealth Mode” albo podobnie i jest zalecana do włączenia w dobrych praktykach bezpieczeństwa sieci brzegowej. Moim zdaniem to jedna z tych opcji, które powinno się mieć domyślnie aktywne, chyba że świadomie administrujesz jakąś usługą publiczną i wiesz, co robisz. W połączeniu z zaporą SPI (Stateful Packet Inspection) oraz poprawnie skonfigurowanym NAT-em, filtr anonimowych żądań pomaga ograniczać skutki prostszych form DDoS, zwłaszcza tych opartych na masowym pingowaniu czy skanowaniu. Oczywiście nie zabezpieczy to całkowicie przed dużym, rozproszonym atakiem na łącze, bo przepustowości nie oszukasz, ale zgodnie z dobrymi praktykami bezpieczeństwa należy minimalizować powierzchnię ataku – i dokładnie to robi ta opcja. W realnym środowisku administracyjnym przy audycie bezpieczeństwa zawsze sprawdza się, czy router brzegowy nie odpowiada bez potrzeby na niezamówione pakiety z Internetu, a ta funkcja jest jednym z kluczowych przełączników w tym obszarze.