DDoS攻击仍在继续,超过80%的政府网站受到影响。本文总结了2019年我国互联网网络安全现状,并在分析网络安全态势的基础上提出了对策建议。DDoS攻击是常见网络攻击中较难的方法之一。报告显示,2019年DDoS攻击仍将频繁发生,攻击的组织和目的更加突出。超过80%的攻击“相当有效”。我国党政机关和关键信息基础设施运营单位的信息系统频频成为DDoS攻击目标。CNCERT跟踪发现,2019年某黑客组织对我国300余家政府网站发起了1000余次DDoS攻击,其攻击前期可导致80.0%以上的攻击目标网站无法正常服务受到不同程度的影响。多数单位通过部署防护装备或购买云防护服务等方式加强自身防护能力。后来,他们的攻击都无法对目标网站造成实质性的破坏,说明被攻击单位的防护能力有了很大的提升。可以说,DDoS之所以能够“经久不衰”多年,就在于它的精准。短时间内,目标网站出现拥堵甚至宕机瘫痪,正常运行立即受到影响,无人能耐。但是,准备大量的带宽资源来防御未知时间访问的DDoS攻击,成本将难以承受。历史惨案也表明,获得可靠的第三方防护服务是防范DDoS攻击最有效的手段。2019年,CNCERT每月对用于发起DDoS攻击的攻击资源进行持续分析,可利用资源的稳定性有所下降。与2018年相比,国内每月可使用的活跃控制端IP数量同比下降15.0%,活跃反射服务器数量同比下降34.0%。同时,抽样监测发现,我国峰值超过10Gbps的大流量DDoS攻击次数平均每天220次,同比增长40%。原因是近年来在治理行动的持续压力下,大量DDoS攻击资源迁移到海外。数据显示,DDoS攻击的控制终端数量和来自海外的反射攻击流量占比均超过90.0%。在针对中国目标的大规模DDoS事件中,来自境外的流量占比超过50.0%。防范方法:(1)定期扫描对现有网络主节点进行定期扫描,排查可能存在的安全漏洞,及时清理新的漏洞。骨干节点的计算机由于其带宽较高,是黑客利用的合适地点,因此加强这些主机自身的安全性非常重要。而且,连接到主要网络节点的计算机都是服务器级别的计算机,因此定期扫描漏洞就显得尤为重要。(2)在骨干节点上配置防火墙防火墙本身可以抵抗DdoS攻击等攻击。当发现攻击时,可以将攻击导向一些牺牲主机,从而保护真实主机不被攻击。当然,这些牺牲的主机可以选择一些无关紧要的主机,或者linux、unix等漏洞少、防御攻击的天然防御能力极佳的系统。(3)使用足够多的机器来抵御黑客攻击是一种理想的应对策略。如果用户有足够的能力和资源供黑客攻击,当它不断访问用户、抢占用户资源时,自身的能量就会逐渐耗尽。也许在用户被攻击和杀死之前,黑客是无能为力的。.但这种方式需要大量的投资,而且大部分设备通常处于闲置状态,与目前中小企业网络的实际运行情况不符。(4)充分利用网络设备保护网络资源所谓网络设备是指路由器、防火墙等负载均衡设备,可以有效保护网络。当网络被攻击时,路由器最先死掉,但其他机器并没有死掉。死掉的路由器重启后会恢复正常,而且会快速启动,没有任何损失。如果其他服务器挂掉,里面的数据就会丢失,重启服务器是一个漫长的过程。特别是某公司使用负载均衡设备,当一台路由器被攻击死机时,另一台会立即工作。从而最大程度的减少DdoS攻击。(5)过滤不需要的服务和端口过滤不需要的服务和端口,也就是过滤路由器上的假IP……只开放服务端口已经成为很多服务器的通行做法。例如,WWW服务器只开放80,而将其他所有端口关闭或在防火墙上阻止。(6)核对访客来源。使用UnicastReversePathForwarding等方式,通过反向路由器查询的方式来查询访问者的IP地址是否真实。如果是假的,它将被阻止。许多黑客攻击往往使用虚假的IP地址来迷惑用户,而且很难查明其来源。因此,使用单播反向路径转发可以减少虚假IP地址的出现,有助于提高网络安全性。(7)过滤所有RFC1918IP地址RFC1918IP地址是内部网络的IP地址,如10.0.0.0、192.168.0.0、172.16.0.0等,不是某个网段的固定IP地址,而是网络内部的保留区域应过滤掉互联网色情IP地址。这种方法不是为了过滤内部员工的访问,而是为了过滤攻击时伪造的大量虚假内部IP,同样可以缓解DdoS攻击。(8)限制SYN/ICMP流量用户应该在路由器上配置SYN/ICMP的最大流量,以限制SYN/ICMP报文可以占用的最大带宽。这样,当大量的SYN/ICMP流量超过限制时,就没有正常的网络访问,而是被黑客攻击了。在早期限制SYN/ICMP流量是防止DOS的最好方法。虽然目前这种方法对DdoS的效果还不明显,但是还是可以起到一定作用的。网络攻击引发的网络安全事件可能导致业务中断、关键数据泄露、数字资产丢失等后果,是党政机关、企事业单位无法承受的痛苦。面对层出不穷的网络攻击,GDCA提供网络安全一站式解决方案,全面助力互联网安全发展,加速信息安全防护,保障网络安全。
