即将开播：5月20日，基于kubernetes打造企业级私有云实践

近日，国家互联网应急中心(CNCERT)发布了《2019年我国互联网网络安全态势综述》报告(以下简称“报告”)，从DDoS攻击、APT攻击、安全漏洞多个方面总结了2019年我国互联网网络安全状况，并结合网络安全态势分析提出对策建议。

DDoS 攻击是常见的网络攻击中比较难以防范的手段之一，报告显示，2019年，DDoS攻击仍然呈现高发频发之势，攻击组织性和目的性更加凸显。

超80%的攻击都“颇具成效”

我国党政机关、关键信息基础设施运营单位的信息系统是频繁遭受 DDoS 攻击的对象。CNCERT 跟踪发现，某黑客组织 2019 年对我国 300 余家政府网站发起了 1000 余次 DDoS 攻击，在初期其攻击可导致 80.0%以上的攻击目标网站正常服务受到不同程度影响。大部分单位通过部署防护设备或购买云防护服务等措施加强自身防护能力，后期其攻击已无法对攻击目标网站带来实质伤害，说明被攻击单位的防护能力已得到大幅提升。

可以说，DDoS之所以多年来“长盛不衰”，还是在于其一打一个准。短时间内，目标网站访问拥塞甚至宕机瘫痪，正常运营立马受到直接影响，搁谁都顶不住。然而，为了防御不知何时会造访的DDoS攻击而准备大量的带宽资源会让成本难以招架，历史的惨痛案例也表明，接入靠谱的第三方防护服务是预防DDoS攻击最有效的手段。

大流量的攻击在逆势增加

2019年，CNCERT 每月对用于发起DDoS的攻击资源进行了持续分析，可被利用的资源稳定性降低。与 2018 年相比，每月可被利用的境内活跃控制端 IP 地址数量同比减少 15.0%、活跃反射服务器同比减少34.0%。

与此同时，抽样监测发现我国境内峰值超过10Gbps 的大流量DDoS 攻击事件数量平均每日 220 起，同比增加 40%。

究其原因，在近年来治理行动的持续高压下，DDoS 攻击资源大量向境外迁移。数据显示，DDoS 攻击的控制端数量和来自境外的反射攻击流量的占比均超过 90.0%。攻击我国目标的大规模DDoS事件中，来自境外的流量占比超过50.0%。

预防方法：

(1)定期扫描

要定期扫描现有的网络主节点，清查可能存在的安全漏洞，对新出现的漏洞及时进行清理。骨干节点的计算机因为具有较高的带宽，是黑客利用的合适位置，因此对 这些主机本身加强主机安全是非常重要的。而且连接到网络主节点的都是服务器级别的计算机，所以定期扫描漏洞就变得更加重要了。

(2)在骨干节点配置防火墙

防火墙本身能抵御DdoS攻击和其他一些攻击。在发现受到攻击的时候，可以将攻击导向一些牺牲主机，这样可以保护真正的主机不被攻击。当然导向的这些牺牲主机 可以选择不重要的，或者是linux以及unix等漏洞少和天生防范攻击优秀的系统

(3)用足够的机器承受黑客攻击

这是一种较为理想的应对策略。如果用户拥有足够的容量和足够的资源给黑客攻击，在它不断访问用户、夺取用户资源之时，自己的能量也在逐渐耗失，或许未等用 户被攻死，黑客已无力支招儿了。不过此方法需要投入的资金比较多，平时大多数设备处于空闲状态，和目前中小企业网络实际运行情况不相符。

(4)充分利用网络设备保护网络资源

所谓网络设备是指路由器、防火墙等负载均衡设备，它们可将网络有效地保护起来。当网络被攻击时最先死掉的是路由器，但其他机器没有死。死掉的路由器经重启 后会恢复正常，而且启动起来还很快，没有什么损失。若其他服务器死掉，其中的数据会丢失，而且重启服务器又是一个漫长的过程。特别是一个公司使用了负载均衡设 备，这样当一台路由器被攻击死机时，另一台将马上工作。从而最大程度的削减了DdoS的攻击。

(5)过滤不必要的服务和端口

过滤不必要的服务和端口，即在路由器上过滤假IP ……只开放服务端口成为目前很多服务器的流行做法，例如WWW服务器那么只开放80而将其他所有端口关闭或在防 火墙上做阻止策略。

(6)检查访问者的来源

使用Unicast Reverse Path Forwarding等通过反向路由器查询的方法检查访问者的IP地址是否是真，如果是假的，它将予以屏蔽。许多黑客攻击常采用假IP地址方 式迷惑用户，很难查出它来自何处。因此，利用Unicast Reverse Path Forwarding可减少假IP地址的出现，有助于提高网络安全性。

(7)过滤所有RFC1918 IP地址

RFC1918 IP地址是内部网的IP地址，像10.0.0.0、192.168.0.0 和172.16.0.0，它们不是某个网段的固定的IP地址，而是Internet内部保留的区域性IP地址，应该把 它们过滤掉。此方法并不是过滤内部员工的访问，而是将攻击时伪造的大量虚假内部IP过滤，这样也可以减轻DdoS的攻击。

(8)限制SYN/ICMP流量

用户应在路由器上配置SYN/ICMP的最大流量来限制SYN/ICMP封包所能占有的最高频宽，这样，当出现大量的超过所限定的SYN/ICMP流量时，说明不是正常的网络访问 ，而是有黑客入侵。早期通过限制SYN/ICMP流量是最好的防范DOS的方法，虽然目前该方法对于DdoS效果不太明显了，不过仍然能够起到一定的作用。

网络攻击带来的网络安全事件可能引发业务运行中断、关键数据泄露、数字资产损失等后果，这些都是党政机关企事业所不能承受之痛。面对层出不穷的网络攻击事件，数安时代GDCA提供网络安全一站式解决方案，全方位助力互联网安全发展，加快保护信息安全，保障网络安全。