家庭宽带会被 DDoS 攻击吗？(图文)

（一）攻击风险的现实存在

网络安全专家 Incapsula 的报告显示，一个 DDoS 僵尸网络劫持了成千上万的路由器，并发动了应用层的 HTTP 洪水攻击。攻击流量来自全球 1600 个互联网服务商的 40269 个 IP 地址，这些 IP 地址可追溯到肇事者的 60 个指挥和控制系统。研究发现，攻击大量使用了基于 ARM 的 Ubiquiti 设备的 SOHO 路由器。超过 85% 被感染的路由器位于泰国和巴西，而大多数的命令和控制服务器分布在美国（21%）和中国（73%）。这表明家庭和办公路由器确实存在被劫持发动 DDoS 攻击的风险。

（二）弱密码带来的隐患

如今家庭中接入互联网的设备越来越多，手机、平板、电脑、电视等 20 多种设备已不新鲜。然而，很多家庭对网络安全并不十分重视，最多设置一个无线密码后就不再关注。网络安全机构每年公布的 “年度最不安全” 密码排行榜中，“12345”“12345678”“qwert”“password” 等总是排行在前几名，且使用频率没有下降趋势。这给犯罪分子留下可趁之机。一旦无线路由器被黑客控制，就可能导致个人隐私泄露和财产损失，生活也会受到严重影响。黑客可以控制家庭中的各种设备，甚至会给用户设备植入木马病毒，窃取隐私和财产，还会控制设备向攻击目标发起 DDoS 攻击，让家庭上网设备成为 “肉鸡”。例如，2021 年常用弱密码中，很多人习惯用相同数字或有逻辑的数字当 WiFi 密码，连路由器后台密码也常是默认的 “admin”。这样一来，黑客不费吹灰之力就能控制家庭网络，进而侵入日常设备。为避免这种情况，我们应增强 WiFi 密码安全性，采用 “字母 + 数字 + 符号” 并选择 WPA2 及以上加密方式，单独设置复杂的路由器管理后台密码，关闭 “远程管理” 选项，提高家庭网络安全性。

二、防御措施与方法

（一）增强密码安全性

为了增强 WiFi 密码的安全性，采用 “字母 + 数字 + 符号” 的组合方式是非常有效的。这样的密码组合能够极大地增加密码的复杂度，让黑客难以通过暴力破解等方式获取密码。同时，选择 WPA2 及以上的加密方式也至关重要。WPA2 加密方式能够为无线网络提供更高的安全性，防止未经授权的用户接入网络。此外，我们还应该定期更换密码，建议每 3 个月更换一次密码，以进一步提高网络的安全性。避免使用常见的密码，如生日、电话号码等容易被猜测的信息。同时，不要将使用和连接 WiFi 相同的密码作为路由器管理后台的密码，需要单独设置一个复杂性较高的密码，以防止黑客通过破解 WiFi 密码进而获取路由器管理权限。

（二）修改路由器设置

1. 设置特定 IP 地址：用户可以手动配置计算机，在需要连接到路由器时，通过路由器的动态主机配置协议（DHCP）自动使用尚未分配给 WLAN 上的其他设备的特定 IP 地址。还可以将路由器的 LAN IP 地址更改为 DHCP 地址池中的第一个地址以外的地址，把路由器从整个网络分开，有助于保护路由器免受跨站点请求伪造（CSRF）的攻击。

2. 不使用无线安全设置（WPS）：虽然 WPS 提供了简便的加密方法，但任何容易设置的东西同时也容易遭到攻击。美国计算机应急准备小组早在 2012 年就把 WPS 的安全漏洞公之于众，目前还没有针对 WPS 缺陷的通用补丁。

3. 结合端口转发和 IP 过滤：许多家庭路由器都配有防火墙，可阻止互联网上的设备与本地网络上的设备连接。用户可以设置端口转发，同时结合 IP 过滤，将计算设备的媒体访问控制（MAC）地址列入白名单，批准其对无线网的访问，没有访问权限的设备就不会连接到路由器。

（三）多种防御手段结合

1. 租用高防服务器：高防服务器具有强大的防护能力，能够抵御大规模的 DDoS 攻击。对于家庭宽带用户来说，可以考虑租用高防服务器来保护家庭网络的安全。虽然这可能会增加一定的成本，但在面临严重的 DDoS 攻击威胁时，是一种有效的防御手段。

2. 购买 CDN：目前大部分的 CDN 节点都有 200G 的流量防护功能，再加上硬防的防护，可以应付绝大多数的 DDoS 攻击。家庭宽带用户可以购买 CDN 服务，将网络流量分发到多个节点上，减轻单个服务器的负担，提高网络的稳定性和安全性。

3. 保证网络带宽：增加带宽是防御 DDoS 攻击的一种方法。只要带宽大于攻击流量，就不怕 DDoS 攻击。但成本非常高，不过在有条件的情况下，可以考虑增加网络带宽，提高网络的承受能力。

4. 升级硬件配置：提升 CPU、内存、硬盘、网卡、路由器、交换机等硬件设施的配置，选用知名度高、口碑好的产品，可以提高网络的性能和稳定性，同时也能增强对 DDoS 攻击的防御能力。将服务器放到具有 DDoS 硬件防火墙的机房，专业级防火墙通常具有对异常流量的清洗过滤功能，可对抗多种流量型 DDoS 攻击。

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。