合网信通〔2018〕94号

各单位:
近期,我市发生多起党政机关、事业单位、国有企业网站和信息系统网络攻击侵入事件,影响网站信息系统正常运行,干扰正常业务开展,暴露出部门单位信息系统存在的设计缺陷和安全隐患。请各单位立即组织技术力量进行全面安全隐患排查,严格按照网络安全等级保护制度要求,完善网络安全管理制度和技术防范措施,加强系统网络安全状态实时监测,做好数据分类和重要数据备份等工作。现就加强防范网络攻击侵入技术措施建议如下:
一、DDOS攻击防范和处置建议
(一)DDOS攻击原理
DDOS的攻击策略侧重于通过很多“僵尸主机”向受害主机发送大量看似合法的网络包,从而造成网络阻塞或服务器资源耗尽而导致拒绝服务,导致合法用户无法正常访问服务器的网络资源。
(二)安全防护措施
1.服务器设置:关闭不必要的服务,防止利用此服务端口攻击;限制同时打开的SYN(同步序列编号)半连接数目;缩短SYN半连接的超时时间。
2.防火墙配置:禁止对主机的非开放服务的访问;限制同时打开的SYN最大连接数;限制特定IP地址的访问;启用防火墙的防DDOS的配置;严格限制对外开放的服务器的向外访问。
3.路由器配置:设置SYN数据包流量速率。
4.接入防护系统:网站接入云防护系统,有效阻断攻击源。
(三)应急处置措施
如网站被DDOS攻击,可采取以下三种应急处置措施:
1.配置防火墙和路由器的IP并发限制策略。
2.联系运营商,通过运营商进行DDOS流量清洗。
3.网络接入网站云防护系统,通过云端进行DDOS流量清洗。
二、CC攻击防范和处置建议
(一)CC攻击原理
CC主要用来攻击网站页面,通过模拟多个用户不停地访问那些需要大量数据操作的网站页面,造成服务器资源浪费,使CPU长时间处于100%,直至网络拥塞,导致正常的网站访问被中止。
(二)安全防护措施
1.使用静态页面:可采取定时从主数据库生成静态页面的方式,对需要访问主数据库的服务使用验证机制。
2.优化网站代码:尽可能使用缓存来存储重复的查询内容,减少重复的数据查询资源开销;减少复杂框架的调用,减少不必要的数据请求和处理逻辑;程序执行中,及时释放资源,减少空连接消耗。
3.设置连接阈值:设置安全防护设备(如防火墙、入侵防御、WEB应用防火墙、抗DDOS系统等)网站中间件的IP并发连接阈值。
4.接入防护系统:网站接入云端防护系统,有效阻断攻击源。
(三)应急处置措施
如网站被CC攻击,可采取以下四种应急处置措施:
1.利用安全防护设备(如防火墙、入侵防御、抗DDOS、WEB应用防火墙等)限制IP访问并发,一般1个IP的阈值设置30-50个并发能有效减轻网站访问压力。
2.利用防火墙的区域IP地址限制功能,设置针对国外IP或者外省IP的阻断策略,降低网站访问压力。
3.配置网站中间件的HTTP请求的阈值,并设置超时时间和访问速率,减轻网站访问压力。
4.接入网站云防护系统,阻断攻击源,恢复网站正常访问。
各单位在工作中如发现被流量攻击的情况,请及时向合肥市网络与信息安全信息通报中心报告(联系人:合肥市公安局网安支队 唐珂,联系电话:62928516)。
特此通知


合肥市网络与信息安全信息通报中心
2018年9月5日

报:马军书记、宁波副市长
安徽省网络与信息安全信息通报中心
送:市委宣传部、市发展和改革委员会、市经济和信息化委员会、市公安局、市国家保密局、市密码管理局、市数据资源局