隨著COVID-19的出現(xiàn)，各行各業(yè)需要適應(yīng)遠(yuǎn)程工作以及對(duì)互聯(lián)網(wǎng)連接變得日益依賴，越來越多類型的企業(yè)成為了DDoS攻擊組織誘人且有利可圖的目標(biāo)。根據(jù)提供分布式拒絕服務(wù)攻擊（DDoS）緩解服務(wù)的多家公司統(tǒng)計(jì)，2020年疫情驅(qū)動(dòng)之下，DDoS攻擊規(guī)模、頻率，以及受害者數(shù)量和多樣性均突破歷史極值，2020年是DDoS攻擊紀(jì)錄頻頻被破的一年。2020年出現(xiàn)了全球最大型DDoS敲詐勒索攻擊，受害客戶比以往任何一年都多，每秒百萬包數(shù)（Mpps）突破歷史紀(jì)錄，正在遭受或即將遭受攻擊而急需防護(hù)的新客戶數(shù)量也創(chuàng)了歷史新高。本文系統(tǒng)的對(duì)DDoS攻擊進(jìn)行技術(shù)分析和檢測(cè)防御方法介紹，以便提升企業(yè)網(wǎng)絡(luò)安全防護(hù)水平。

一、DDoS攻擊介紹

1.概念介紹

( 1 ) DoS攻擊：(Denial of Service)拒絕服務(wù)攻擊，這種攻擊行為是使目標(biāo)服務(wù)器充斥大量要回復(fù)的信息，消耗網(wǎng)絡(luò)帶寬或系統(tǒng)資源，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)不勝負(fù)荷而停止提供正常的網(wǎng)絡(luò)服務(wù)。

( 2 ) DDoS攻擊：(Distributed Denial of Service)分布式拒絕服務(wù)攻擊，這種是攻擊者利用Internet上現(xiàn)有機(jī)器及系統(tǒng)的漏洞，攻占大量聯(lián)網(wǎng)主機(jī)(俗稱肉雞)，使其成為攻擊者的代理。當(dāng)被控制的機(jī)器達(dá)到一定數(shù)量后，攻擊者通過發(fā)送指令操縱這些攻擊機(jī)同時(shí)向目標(biāo)主機(jī)或網(wǎng)絡(luò)發(fā)起DoS攻擊，大量消耗其網(wǎng)絡(luò)帶寬和系統(tǒng)資源，導(dǎo)致該網(wǎng)絡(luò)或系統(tǒng)癱瘓或停止提供正常的網(wǎng)絡(luò)服務(wù)。由于DDoS的分布式特征，它具有了比DoS遠(yuǎn)為強(qiáng)大的攻擊力和破壞性。

圖1  DDoS攻擊示意圖

2.攻擊原理

如圖2所示，一個(gè)比較完善的DDoS攻擊體系分成四大部分，分別是攻擊者(attacker也可以稱為master)、控制傀儡機(jī)( handler)、攻擊傀儡機(jī)(demon，又可稱agent)和受害著(victim)。第2和第3部分，分別用做控制和實(shí)際發(fā)起攻擊。第2部分的控制機(jī)只發(fā)布令而不參與實(shí)際的攻擊，第3部分攻擊傀儡機(jī)上發(fā)出DDoS的實(shí)際攻擊包。對(duì)第2和第3部分計(jì)算機(jī)，攻擊者有控制權(quán)或者是部分的控制權(quán)，并把相應(yīng)的DDoS程序上傳到這些平臺(tái)上，這些程序與正常的程序一樣運(yùn)行并等待來自攻擊者的指令，通常它還會(huì)利用各種手段隱藏自己不被別人發(fā)現(xiàn)。在平時(shí)，這些傀儡機(jī)器并沒有什么異常，只是一旦攻擊者連接到它們進(jìn)行控制，并發(fā)出指令的時(shí)候，攻擊愧儡機(jī)就成為攻擊者去發(fā)起攻擊了。

圖2  分布式拒絕服務(wù)攻擊體系結(jié)構(gòu)

之所以采用這樣的結(jié)構(gòu)，一個(gè)重要目的是隔離網(wǎng)絡(luò)聯(lián)系，隱藏保護(hù)攻擊者，使其不會(huì)在攻擊進(jìn)行時(shí)受到監(jiān)控系統(tǒng)的跟蹤。同時(shí)也能夠更好地協(xié)調(diào)進(jìn)攻，因?yàn)楣魣?zhí)行器的數(shù)目太多，同時(shí)由一個(gè)系統(tǒng)來發(fā)布命令會(huì)造成控制系統(tǒng)的網(wǎng)絡(luò)阻塞，影響攻擊的突然性和協(xié)同性。而且，流量的突然增大也容易暴露攻擊者的位置和意圖。整個(gè)過程可分為：

( 1 ) 掃描大量主機(jī)以尋找可入侵主機(jī)目標(biāo)；

( 2 ) 有安全漏洞的主機(jī)并獲取控制權(quán)；

( 3 ) 入侵主機(jī)中安裝攻擊程序；

( 4 ) 用己入侵主機(jī)繼續(xù)進(jìn)行掃描和入侵。

當(dāng)受控制的攻擊代理機(jī)達(dá)到攻擊者滿意的數(shù)量時(shí)，攻擊者就可以通過攻擊主控機(jī)隨時(shí)發(fā)出擊指令。由于攻擊主控機(jī)的位置非常靈活，而且發(fā)布命令的時(shí)間很短，所以非常隱蔽以定位。一旦攻擊的命令傳送到攻擊操縱機(jī)，主控機(jī)就可以關(guān)閉或脫離網(wǎng)絡(luò)，以逃避追蹤要著，攻擊操縱機(jī)將命令發(fā)布到各個(gè)攻擊代理機(jī)。在攻擊代理機(jī)接到攻擊命令后，就開始向目標(biāo)主機(jī)發(fā)出大量的服務(wù)請(qǐng)求數(shù)據(jù)包。這些數(shù)據(jù)包經(jīng)過偽裝，使被攻擊者無法識(shí)別它的來源面，并且這些包所請(qǐng)求的服務(wù)往往要消耗較大的系統(tǒng)資源，如CPU或網(wǎng)絡(luò)帶寬。如果數(shù)百臺(tái)甚至上千臺(tái)攻擊代理機(jī)同時(shí)攻擊一個(gè)目標(biāo)，就會(huì)導(dǎo)致目標(biāo)主機(jī)網(wǎng)絡(luò)和系統(tǒng)資源的耗盡，從而停止服務(wù)。有時(shí)，甚至?xí)?dǎo)致系統(tǒng)崩潰。

另外，這樣還可以阻塞目標(biāo)網(wǎng)絡(luò)的防火墻和路由器等網(wǎng)絡(luò)設(shè)備，進(jìn)一步加重網(wǎng)絡(luò)擁塞狀況。于是，目標(biāo)主機(jī)根本無法為正常用戶提供任何服務(wù)。攻擊者所用的協(xié)議都是一些非常常見的協(xié)議和服務(wù)。這樣，系統(tǒng)管理員就難于區(qū)分惡意請(qǐng)求和正常連接請(qǐng)求，從而無法有效分離出攻擊數(shù)據(jù)包，提升防御難度。

二、DDoS攻擊方式

分布式拒絕服務(wù)攻擊的精髓是：利用分布式的客戶端，向目標(biāo)發(fā)起大量看上去合法的請(qǐng)求，消耗或者占用大量資源，從而達(dá)到拒絕服務(wù)的目的。按照攻擊對(duì)象的不同，將DDoS的攻擊方式分成4類，分別是攻擊網(wǎng)絡(luò)帶寬、攻擊系統(tǒng)、攻擊應(yīng)用、混合攻擊。

1.攻擊網(wǎng)絡(luò)帶寬資源

由于網(wǎng)絡(luò)帶寬是有限的，攻擊者利用分布式的傀儡主機(jī)向目標(biāo)網(wǎng)絡(luò)發(fā)送大量的網(wǎng)絡(luò)數(shù)據(jù)包，占滿被攻擊者的全部帶寬，從而造成正常請(qǐng)求無法響應(yīng)。

（1）直接攻擊

直接攻擊是指攻擊者利用控制的大量主機(jī)對(duì)受害者發(fā)送大量的數(shù)據(jù)流量，使得受害者的網(wǎng)絡(luò)帶寬被占據(jù)，并大量消耗服務(wù)器和網(wǎng)絡(luò)設(shè)備的處理能力，達(dá)到拒絕服務(wù)攻擊的目的。例如ICMP/IGMP洪水攻擊，UDP洪水攻擊等都是典型的DDoS直接攻擊方式。

（2） 反射和放大攻擊

直接攻擊不僅效率低而且容易被追蹤，所以攻擊者更多地選擇反射攻擊。反射攻擊又稱DRDoS(DistributedReflectionDenialofService，分布式反射拒絕服務(wù))，是指攻擊者利用路由器、服務(wù)器等設(shè)施對(duì)請(qǐng)求產(chǎn)生應(yīng)答，從而反射出大量的流量對(duì)受害者進(jìn)行攻擊的一種DDoS攻擊方式。這種攻擊方式隱蔽，更大危害還來自于使用反射過程的放大。放大是一種特殊的反射攻擊，其特殊之處在于反射器對(duì)于網(wǎng)絡(luò)流量具有放大作用，可以將攻擊者較小的流量放大成較大流量，從而造成更加嚴(yán)重的帶寬消耗。

（3） 鏈路攻擊

攻擊鏈路與前面提到的攻擊方法不同，攻擊對(duì)象不是服務(wù)器而是骨干網(wǎng)絡(luò)上的帶寬資源。一種典型的鏈路攻擊方式是Coremelt攻擊。首先，攻擊者通過traceroute等手段確定各個(gè)僵尸主機(jī)與攻擊鏈路之間的位置關(guān)系。然后，由攻擊者將僵尸網(wǎng)絡(luò)分成兩部分，并控制這兩部分之間通過骨干網(wǎng)絡(luò)進(jìn)行通信。大量的數(shù)據(jù)包通過骨干網(wǎng)絡(luò)，將會(huì)造成骨干網(wǎng)絡(luò)的擁堵和延時(shí)。從骨干網(wǎng)絡(luò)上來看，通過網(wǎng)絡(luò)的數(shù)據(jù)包是真實(shí)存在的，并沒有任何有效的方式將真正的數(shù)據(jù)包與拒絕服務(wù)攻擊的數(shù)據(jù)區(qū)分開來，這樣使得這種攻擊方式更加隱蔽和難以防范。

圖3  攻擊網(wǎng)絡(luò)帶寬資源

2.攻擊系統(tǒng)資源

（1） 攻擊TCP連接

TCP是一種面向連接的、可靠的、基于字節(jié)流量的傳輸層控制協(xié)議。由于在設(shè)計(jì)之初考慮更多的是協(xié)議的可用性，缺乏對(duì)協(xié)議的安全性進(jìn)行周密比較和詳細(xì)描述，因此TCP協(xié)議存在許多安全缺陷和安全問題。TCP連接洪水攻擊的原理，就是在建立三次握手過程中，服務(wù)器會(huì)創(chuàng)建并保存TCP連接信息，該信息會(huì)被保存在連接表中。但是，連接表中的空間是有限的，一旦連接表中存儲(chǔ)的數(shù)據(jù)超過了其最大數(shù)目，服務(wù)器就無法創(chuàng)建新的TCP連接。攻擊者利用大量的受控主機(jī)，占據(jù)連接表中所有空間，使得目標(biāo)無法建立新的TCP連接。當(dāng)大量的受控主機(jī)進(jìn)行攻擊時(shí)，其攻擊效果非常明顯。攻擊手段主要有：SYN洪水攻擊、PSH+ACK洪水攻擊、RST攻擊、Sockstress攻擊等。

（2）攻擊SSL連接

安全套接字(SecureSocketsLayer,SSL)是為網(wǎng)絡(luò)通信協(xié)議提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。其在傳輸層對(duì)數(shù)據(jù)進(jìn)行加密，然而SSL協(xié)議在加密、解密和密鑰協(xié)商的過程中會(huì)消耗大量的系統(tǒng)資源。SSL洪水攻擊的原理，就是在SSL握手過程中，無論接收的數(shù)據(jù)是否有效，只能先進(jìn)行解密才能進(jìn)行驗(yàn)證，所以攻擊者利用這個(gè)特性，向被攻擊者發(fā)送大量的無用數(shù)據(jù)，消耗目標(biāo)大量的計(jì)算資源。

圖4  攻擊系統(tǒng)資源

3.攻擊應(yīng)用資源

（1） 攻擊DNS服務(wù)

DNS服務(wù)是網(wǎng)絡(luò)服務(wù)中一項(xiàng)核心服務(wù)，對(duì)DNS服務(wù)器攻擊造成的影響更具威脅性。針對(duì)DNS服務(wù)器的攻擊，主要有DNSQUERY洪水攻擊和DNSNXDOMAIN攻擊兩類。DNSQUERY洪水攻擊是利用大量的查詢請(qǐng)求，使得DNS服務(wù)器進(jìn)行大量查詢，消耗其大量的計(jì)算和存儲(chǔ)資源，使得DNS服務(wù)器的服務(wù)質(zhì)量下降，甚至完全停止服務(wù)。在發(fā)起該攻擊方式時(shí)，考慮到DNS服務(wù)器的查詢方式，需要發(fā)送大量的不同域名的地址查詢，而且盡量不要選擇存儲(chǔ)在DNS緩存記錄里面的域名。DNSNXDO-MAIN攻擊是DNSQUERY洪水攻擊的一種變種，后者攻擊時(shí)發(fā)送的是真實(shí)的域名地址，前者則發(fā)送大量不存在的域名地址，使得DNS服務(wù)器進(jìn)行大量遞歸查詢，從而使得正常的請(qǐng)求速度變慢，甚至是拒絕服務(wù)。

（2） 攻擊Web服務(wù)

隨著Web的迅速發(fā)展，人們的生活因此而變得方便快捷，大量的商務(wù)也因此更加方便。所以一旦Web服務(wù)器遭到拒絕服務(wù)攻擊，那么就會(huì)對(duì)其承載的大量服務(wù)造成巨大的影響。攻擊Web服務(wù)器，常用的手段包括HTTP(s)洪水攻擊、Slowloris攻擊、慢速POST請(qǐng)求攻擊、數(shù)據(jù)處理過程攻擊等。

圖5  攻擊應(yīng)用資源

4.混合攻擊

攻擊者在實(shí)施攻擊過程中，并不在意使用了哪種攻擊手段，而更加在意是否能夠達(dá)到拒絕服務(wù)攻擊的效果。所以，攻擊者常常使用其能夠使用的所有攻擊手段進(jìn)行攻擊，稱這種攻擊為混合攻擊。這些攻擊方式是相輔相成、互相補(bǔ)充的，對(duì)于受害者來說，要面對(duì)不同協(xié)議、不同資源的攻擊，更加難以防范，其處理拒絕服務(wù)攻擊的成本也會(huì)大幅提高，這種攻擊更加具有針對(duì)性。

除上述提到的攻擊方式外，拒絕服務(wù)攻擊還可與其它攻擊方式相互混合使用。以達(dá)到混淆視聽，難以防范的目的。

三、DDoS攻擊檢測(cè)及防御

1.檢測(cè)原理

常見的入侵檢測(cè)方法分為誤用檢測(cè)和異常檢測(cè)兩種。

（1）誤用檢測(cè)

誤用檢測(cè)主要是根據(jù)已知的攻擊特征直接檢測(cè)入侵行為。首先對(duì)異常信息源建模分析提取特征向量，根據(jù)特征設(shè)計(jì)針對(duì)性的特征檢測(cè)算法，若新數(shù)據(jù)樣本檢測(cè)出相應(yīng)的特征值，則發(fā)布預(yù)警或進(jìn)行反應(yīng)。

優(yōu)點(diǎn)：特異性，檢測(cè)速度快，誤報(bào)率低，能迅速發(fā)現(xiàn)已知的安全威脅。

缺點(diǎn)：需要人為更新特征庫，提取特征碼，而攻擊者可以針對(duì)某一特征碼進(jìn)行繞過。

（2）異常檢測(cè)

異常檢測(cè)主要是檢測(cè)偏離正常數(shù)據(jù)的行為。首先對(duì)信息源進(jìn)行建模分析，創(chuàng)建正常的系統(tǒng)或者網(wǎng)絡(luò)的基準(zhǔn)輪廓。若新數(shù)據(jù)樣本偏離或者超出當(dāng)前正常模式輪廓，異常檢測(cè)系統(tǒng)就發(fā)布預(yù)警或進(jìn)行反應(yīng)。由于檢測(cè)系統(tǒng)是根據(jù)正常情況定制描繪出系統(tǒng)或網(wǎng)絡(luò)的正常輪廓，對(duì)于外部攻擊，攻擊者很難在攻擊時(shí)不偏離正常輪廓，因此很容易被異常檢測(cè)系統(tǒng)偵測(cè)到；同理，異常檢測(cè)系統(tǒng)也可以檢測(cè)來自內(nèi)部的攻擊。另外，異常檢測(cè)系統(tǒng)還有能力檢測(cè)以前未知的攻擊。

優(yōu)點(diǎn)：異常檢測(cè)旨在發(fā)現(xiàn)偏離，而不是具體入侵特征，因而通用性較強(qiáng)，對(duì)突發(fā)的新型異常事件有很好的預(yù)警作用，利于人們宏觀防御，目前大部分網(wǎng)絡(luò)異常流量檢測(cè)系統(tǒng)均采用異常檢測(cè)系統(tǒng)。

缺點(diǎn)：首先只有對(duì)初始系統(tǒng)進(jìn)行訓(xùn)練，才能創(chuàng)建正常的輪廓模型；其次，調(diào)整和維護(hù)輪廓模型也較為復(fù)雜和耗時(shí)，創(chuàng)建錯(cuò)誤的輪廓模型可能導(dǎo)致較高的誤報(bào)率。最后，一些精心構(gòu)造惡意攻擊，可利用異常檢測(cè)訓(xùn)練系統(tǒng)使其逐漸接受惡意行為，造成漏報(bào)。

2.檢測(cè)方法

一般檢測(cè)DDoS攻擊依靠網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測(cè)系統(tǒng)或者業(yè)務(wù)系統(tǒng)本身運(yùn)行狀態(tài)參數(shù)。具體檢測(cè)方法如下：

  基于網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測(cè)系統(tǒng)

( 1 ) 發(fā)現(xiàn)網(wǎng)絡(luò)流量突然暴增，出現(xiàn)異常變化。

( 2 ) 個(gè)別網(wǎng)絡(luò)協(xié)議（如：ICMP、UDP、TCP；HTTP、DNS等）突然暴增。

( 3 ) 出現(xiàn)相同源地址的大量數(shù)據(jù)包、大量垃圾數(shù)據(jù)包。

 基于設(shè)備運(yùn)行狀態(tài)

( 1 ) 監(jiān)控業(yè)務(wù)系統(tǒng)性能，網(wǎng)絡(luò)設(shè)備、服務(wù)器CUP占用率突然增高。

( 2 ) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)請(qǐng)求連接突然大量增加。

( 3 ) 服務(wù)器出現(xiàn)大量垃圾數(shù)據(jù)包。

( 4 ) 將服務(wù)器網(wǎng)絡(luò)斷開后，異常狀態(tài)消失。

3.防御方法

隨著這幾年DDoS攻擊越來越智能化，發(fā)起DDoS攻擊不再需要很高的技術(shù)能力，在很多提供在線攻擊服務(wù)的網(wǎng)站上只要支付幾美元，然后輸入IP或域名，就可以對(duì)目標(biāo)發(fā)起DDoS攻擊。2020年5G網(wǎng)絡(luò)的商業(yè)化導(dǎo)致未來智能物聯(lián)網(wǎng)設(shè)備越來越多，僵尸網(wǎng)絡(luò)“肉雞”規(guī)模將越來越大，成本將越來越低，這直接導(dǎo)致DDoS攻擊頻率將不斷提升。企業(yè)想要保障服務(wù)器穩(wěn)定運(yùn)行，必須重視網(wǎng)絡(luò)安全防護(hù)，接入專業(yè)的高防服務(wù)，比如藍(lán)隊(duì)云DDoS高防IP，基于云計(jì)算的分布式集群防御搭建，每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址，T級(jí)的DDoS防御流量保障服務(wù)器穩(wěn)定運(yùn)行。特別是電商、金融、培訓(xùn)、美容、游戲等DDoS“重災(zāi)區(qū)”行業(yè)，更應(yīng)該重視網(wǎng)絡(luò)安全防護(hù)，避免因DDoS攻擊導(dǎo)致業(yè)務(wù)中斷造成經(jīng)濟(jì)損失和用戶流失。

一般DDoS攻擊防御方法如下：

( 1 ) 過濾不必要的服務(wù)和端口：可以使用Inexpress、Express、Forwarding等工具來過濾不必要的服務(wù)和端口，即在路由器上過濾假IP。比如Cisco公司的CEF(Cisco Express Forwarding)可以針對(duì)封包Source IP和Routing Table做比較，并加以過濾。只開放服務(wù)端口成為目前很多服務(wù)器的流行做法，例如www服務(wù)器那么只開放80而將其他所有端口關(guān)閉或在防火墻上做阻止策略。

( 2 ) 異常流量的清洗過濾：通過DDoS硬件防火墻對(duì)異常流量的清洗過濾，通過數(shù)據(jù)包的規(guī)則過濾、數(shù)據(jù)流指紋檢測(cè)過濾、及數(shù)據(jù)包內(nèi)容定制過濾等頂尖技術(shù)能準(zhǔn)確判斷外來訪問流量是否正常，進(jìn)一步將異常流量禁止過濾。單臺(tái)負(fù)載每秒可防御800-927萬個(gè)syn攻擊包。

( 3 ) 分布式集群防御：這是目前網(wǎng)絡(luò)安全界防御大規(guī)模DDoS攻擊的最有效辦法。分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址（負(fù)載均衡），并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊，如一個(gè)節(jié)點(diǎn)受攻擊無法提供服務(wù)，系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn)，并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn)，使攻擊源成為癱瘓狀態(tài)，從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。

( 4 ) 高防智能DNS解析：高智能DNS解析系統(tǒng)與DDoS防御系統(tǒng)的完美結(jié)合，為企業(yè)提供對(duì)抗新興安全威脅的超級(jí)檢測(cè)功能。它顛覆了傳統(tǒng)一個(gè)域名對(duì)應(yīng)一個(gè)鏡像的做法，智能根據(jù)用戶的上網(wǎng)路線將DNS解析請(qǐng)求解析到用戶所屬網(wǎng)絡(luò)的服務(wù)器。同時(shí)智能DNS解析系統(tǒng)還有宕機(jī)檢測(cè)功能，隨時(shí)可將癱瘓的服務(wù)器IP智能更換成正常服務(wù)器IP，為企業(yè)的網(wǎng)絡(luò)保持一個(gè)永不宕機(jī)的服務(wù)狀態(tài)。

四、結(jié)論

隨著全球互聯(lián)網(wǎng)業(yè)務(wù)和云計(jì)算的發(fā)展熱潮，可以預(yù)見到，針對(duì)特定服務(wù)、大小型企業(yè)甚至公共和非營(yíng)利組織的DDoS攻擊頻率還會(huì)大幅度增長(zhǎng)，攻擊手段也會(huì)更加復(fù)雜。雖然無法完全阻止DDoS攻擊的發(fā)生，但一些有效的DDoS攻擊保護(hù)技術(shù)和方法可用于增強(qiáng)基礎(chǔ)設(shè)施抵御DDoS攻擊并減輕其后果。有效地對(duì)付DDoS攻擊是一個(gè)系統(tǒng)工程，不僅需要技術(shù)人員去探索新的防護(hù)手段，網(wǎng)絡(luò)使用者也要具備網(wǎng)絡(luò)攻擊基本的防護(hù)意識(shí)，只有將技術(shù)手段和人員素質(zhì)結(jié)合到一起才能最大限度的發(fā)揮網(wǎng)絡(luò)防護(hù)的效能。