網路攻擊盯上民生領域，應對DDoS和APT攻擊，如何有效防禦？

最近科技日報指出，近年來網路攻擊頻繁盯上民生領域，如電力、交通、水利、能源乃至醫療等關鍵基礎設施。

 

在很多人看來，網路攻擊這件事好像還離我們很遠，然而當關繫到國計民生的基礎設施遭到攻擊時，就可能會影響到整個城市的執行，進而威脅到人們的生活。

還記得去年駭客攻擊美國最大的輸油管事件，導致美國持續6天出現大面積缺油現象，相關公司還被勒索了500萬美元贖金。

在網路安全業內看來，不管是民用還是軍用，是戰爭還是和平時代，網路攻擊隨時都可能發生。

據環球網報導，北京健康寶不久前曾遭到DDOS攻擊（分散式拒絕服務攻擊），分析發現相關攻擊來自境外，該公司技術團隊及時採取應對措施，才保證其相關服務應用免受影響。

一週前，美國動視暴雪公司戰網服務遭到DDOS攻擊，導致其遊戲網路出現中斷和嚴重延遲現象。

 

360網路安全專家李豐沛指出來自境外的網路攻擊，其意圖多種多樣。DDOS攻擊具有針對國內關鍵設施進行攻擊的破壞性意圖。

DDOS攻擊作為網路空間的頑疾，相關企業一旦遭到攻擊，就意味著要打一場“非對稱戰爭”。因此提前做好網路攻擊防範和應急預案對網站服務方來說十分重要。

 

另有基於竊取情報意圖的APT攻擊，是一種隱蔽性更強，攻擊規模更大的高階網路攻擊。當APT攻擊發生，傳統的網路防禦體系甚至難以進行偵測。

對此，相關安全專家指出，所有的安全廠商和IT供應商需要不斷增強自身安全實力，針對各種攻擊做出彈性備案，推進築牢國家數字安全屏障。

下面我們將深入瞭解DDOS和APT攻擊以及如何進行有效防禦。

關於DDOS（Distributed Denial of Service）分散式拒絕服務攻擊，是指攻擊者透過技術手段，在很短的時間內對目標攻擊網站發出大量請求，極大地消耗相關網站的主機資源，導致其無法正常服務。

打個比方來說，原本一家銀行在正常執行，為其客戶提供服務，攻擊者想了一個辦法，在短時間內叫了幾十個惡霸去銀行排號，然後他們不是去辦什麼業務，而是和銀行客服東拉西扯佔用銀行服務資源，導致其無法正常為客戶提供服務。

DDoS攻擊有多種型別，針對Web伺服器的攻擊有TCP SYN泛洪攻擊和CC攻擊。

 

另外UDP flood、Ping of Death和ICMP flood可針對各種伺服器發起攻擊。Smurf攻擊的目標有伺服器、交換機和路由器。

關於TCP SYN泛洪攻擊，SYN（Synchronize Sequence Numbers）同步序列編號，是TCP/IP建立連線時使用的握手訊號。DDOS攻擊者利用TCP的三次握手機制，透過偽造IP地址向攻擊目標發出請求，使攻擊目標無法正常響應服務，且不斷消耗資源，最後可能導致伺服器當機，從而無法向使用者提供服務。

Ping of Death是指攻擊者透過故意給對方傳送大於65535位元組的IP資料包，進行的一種畸形報文攻擊。

由於65535位元組是IP協議允許的最大位元組，當攻擊者增加IP包的大小，會導致許多作業系統收到後不知道該做什麼，伺服器隨之會出現凍結、當機或重啟等情況。

Smurf攻擊是一種病毒攻擊，它透過IP欺騙和ICMP回覆，促使大量網路傳輸湧向目標系統，導致系統拒絕提供正常服務。

其中IP欺騙是指建立源地址經過修改的Internet 協議 (IP) 資料包。

ICMP（Internet Control Message Protocol）是Internet控制報文協議，是TCP/IP協議簇的一個子協議，用於在IP主機、路由器之間傳遞控制訊息。攻擊者利用ICMP偽造閘道器，進而把大量偽造IP資料包傳送到目標系統，從而對目標裝置或周邊基礎設施發動 DDoS 攻擊。

應對各種DDOS攻擊，其防禦技術也多種多樣，主要方法有使用高防伺服器、設定黑名單、DDOS清洗和CDN加速等。關於CDN流量加速，倘若能夠精準查詢使用者IP地址，瞭解使用者分佈情況，有利於實現CDN流量的高效排程。

再來看看APT（Advanced Persistent Threat）高階長期威脅攻擊，該攻擊通常是駭客針對特定目標，長期、有計劃且有組織地進行竊取情報資訊的行為，是綜合了多種攻擊方式的高階定向攻擊，通俗來說APT攻擊相當於是“網路間諜”行為。

完成一輪APT攻擊通常會經過掃描探測、工具投送、漏洞利用、木馬植入、遠端控制、橫向滲透和目標行動等七個階段。

近年來，來自境外的APT駭客攻擊接連發生，攻擊者的手段越發複雜和隱蔽。

為了防禦此類攻擊，資訊網路技術安全人員的防禦技術更需不斷精進。防禦APT攻擊，需要從網路安全建設的方方面面著手，推進安全防禦技術遠遠超過攻擊者的手段。

關於防禦APT攻擊的方法及思路。

一方面，APT攻擊隱蔽性強，要想進行防禦，就要找到攻擊源，進而透過高階檢測技術和資料分析來完成。在這個過程中，資料能力是重要支撐。

以IP地址為例，部署高精準的IP地址庫，進行實時IP動態感知，攻防定位和安全溯源，能有效推進網路安全。檢測到攻擊源後，透過深度分析來訪資料，進而監控或攔截不安全訪問流量。

另一方面，APT攻擊的目的主要是竊取情報，如果未能攔截到攻擊源，企業自身的保護機制也要過硬。那麼使用防止敏感資料洩露的加密技術將是一項必要投入。

另外使用者許可權管理以及使用者身份認證技術，也是管控內網訪問核心業務和資料的主流思路。

在這方面，IP地址的應用也有體現。例如透過IP地址和GPS的交叉核驗驗證，可以識別使用者的位置資訊和日常訪問資料資訊是否一致，進而判斷使用者操作行為的風險程度。

網路攻擊盯上民生領域是網路攻擊擴大威脅的一種表現，且敵人在暗，企業在明。企業要打贏這場“非對稱戰爭”，就要擁有相關技術能力和資料支撐。

在實際的網路攻防作戰中，企業實際上要考慮的是成本和收益問題。當然，隨著數字化發展，一家網際網路企業要想有良性的收益，不斷提升使用者體驗，打造安全防禦體系將是重要基礎。

4月底，微博、微信、知乎和頭條等網際網路大廠陸續上線了IP歸屬地功能，是打造網路安全屏障，提升網際網路使用者體驗的一大舉措。

對石油、電力、交通和醫療等民生企業來說，推進防禦DDOS和APT等惡意攻擊，還需要加強全方位保護企業的網路資產。

攻擊者攻擊重要企業，常常把企業網站和企業辦公網路作為兩個“主戰場”。

 

企業網站容易確定訪問者身份，很多企業也進行了該層面的安全建設，但常常會忽略企業辦公網路層面的網路資產保護。

在數字化時代，企業重點部門及相分支機構的辦公網路變得複雜，網路空間資產種類多、變化大且不直觀。這使得企業很難實時檢測網路資產漏洞，評估全資產的安全風險，從而無法及時採取保護措施，這就給攻擊者提供了可乘之機。

要解決這一隱患，企業首先要全面瞭解自己辦公資產的暴露面。在這方面，可以透過部署企業辦公網路IP地址庫，去完善自己的網路資產清單，進而採取防禦措施。

當企業遭到一次攻擊，透過追溯攻擊方的IP源資訊，也能進行精準的網路攻擊取證。

當然，我們都不會希望攻擊真的發生，可長期以來，企業處於被動地位，往往是在發現一個攻擊IP之後，才進行一次封鎖。

為了提高防禦效果，準確識別目標區域的資料中心IP，進行批次封鎖是一個有效思路。

資料中心IP是IP應用場景的一種。總的來說，IP地址庫和IP應用場景的綜合應用，對企業辦公網路層面的安全防護具有積極意義。

 

網路安全已經成為國家和民生安全的重要方面，應對外部威脅，打贏一場“非對稱戰爭”，專家提倡築牢數字安全屏障。這不僅需要增強資料能力，提升技術措施，還需要所有網際網路公司都積極投身其中。