合网信通〔2018〕94号

各单位：
近期，我市发生多起党政机关、事业单位、国有企业网站和信息系统网络攻击侵入事件，影响网站信息系统正常运行，干扰正常业务开展，暴露出部门单位信息系统存在的设计缺陷和安全隐患。请各单位立即组织技术力量进行全面安全隐患排查，严格按照网络安全等级保护制度要求，完善网络安全管理制度和技术防范措施，加强系统网络安全状态实时监测，做好数据分类和重要数据备份等工作。现就加强防范网络攻击侵入技术措施建议如下：
一、DDOS攻击防范和处置建议
（一）DDOS攻击原理
DDOS的攻击策略侧重于通过很多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，导致合法用户无法正常访问服务器的网络资源。
（二）安全防护措施
1.服务器设置：关闭不必要的服务，防止利用此服务端口攻击；限制同时打开的SYN（同步序列编号）半连接数目；缩短SYN半连接的超时时间。
2.防火墙配置：禁止对主机的非开放服务的访问；限制同时打开的SYN最大连接数；限制特定IP地址的访问；启用防火墙的防DDOS的配置；严格限制对外开放的服务器的向外访问。
3.路由器配置：设置SYN数据包流量速率。
4.接入防护系统：网站接入云防护系统，有效阻断攻击源。
（三）应急处置措施
如网站被DDOS攻击，可采取以下三种应急处置措施：
1.配置防火墙和路由器的IP并发限制策略。
2.联系运营商，通过运营商进行DDOS流量清洗。
3.网络接入网站云防护系统，通过云端进行DDOS流量清洗。
二、CC攻击防范和处置建议
（一）CC攻击原理
CC主要用来攻击网站页面，通过模拟多个用户不停地访问那些需要大量数据操作的网站页面，造成服务器资源浪费，使CPU长时间处于100\%，直至网络拥塞，导致正常的网站访问被中止。
（二）安全防护措施
1.使用静态页面：可采取定时从主数据库生成静态页面的方式，对需要访问主数据库的服务使用验证机制。
2.优化网站代码：尽可能使用缓存来存储重复的查询内容，减少重复的数据查询资源开销；减少复杂框架的调用，减少不必要的数据请求和处理逻辑；程序执行中，及时释放资源，减少空连接消耗。
3.设置连接阈值：设置安全防护设备（如防火墙、入侵防御、WEB应用防火墙、抗DDOS系统等）网站中间件的IP并发连接阈值。
4.接入防护系统：网站接入云端防护系统，有效阻断攻击源。
（三）应急处置措施
如网站被CC攻击，可采取以下四种应急处置措施：
1.利用安全防护设备（如防火墙、入侵防御、抗DDOS、WEB应用防火墙等）限制IP访问并发，一般1个IP的阈值设置30-50个并发能有效减轻网站访问压力。
2.利用防火墙的区域IP地址限制功能，设置针对国外IP或者外省IP的阻断策略，降低网站访问压力。
3.配置网站中间件的HTTP请求的阈值，并设置超时时间和访问速率，减轻网站访问压力。
4.接入网站云防护系统，阻断攻击源，恢复网站正常访问。
各单位在工作中如发现被流量攻击的情况，请及时向合肥市网络与信息安全信息通报中心报告（联系人：合肥市公安局网安支队 唐珂，联系电话：62928516）。
特此通知


合肥市网络与信息安全信息通报中心
2018年9月5日

报：马军书记、宁波副市长
安徽省网络与信息安全信息通报中心
送：市委宣传部、市发展和改革委员会、市经济和信息化委员会、市公安局、市国家保密局、市密码管理局、市数据资源局