CNCERT2018年我国DDoS攻击资源分析报告网络安全2019335页

2018年我国DDoS攻击资源分析报告国家计算机网络应急技术处理协调中心2019年3月CNCERT2018年我国DDoS攻击资源分析报告2/35目录一、引言..................................................................................................................3（一）攻击资源定义.......................................................................................3（二）2018年重点关注情况...........................................................................4二、全年DDoS攻击资源分析.................................................................................6（一）控制端资源分析....................................................................................6（二）肉鸡资源分析.......................................................................................8（三）反射攻击资源分析................................................................................9（四）发起伪造流量的路由器分析..............................................................171.跨域伪造流量来源路由器.................................................................172.本地伪造流量来源路由器.................................................................18三、我国境内攻击资源年度活跃及治理情况分析...............................................20（一）我国境内攻击资源年度活跃趋势.......................................................211、控制端资源.....................................................................................212、肉鸡资源.........................................................................................213、反射服务器资源.............................................................................234、跨域伪造流量来源路由器资源......................................................275、本地伪造流量来源路由器资源......................................................28（二）DDoS攻击资源治理情况及典型案例.................................................301、控制端资源.....................................................................................302、反射服务器资源.............................................................................313、伪造流量来源路由器资源..............................................................32四、下一步DDoS攻击资源治理建议.............................................................33CNCERT2018年我国DDoS攻击资源分析报告3/35一、引言（一）攻击资源定义本报告为2018年的DDoS攻击资源年度分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配臵可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动CNCERT2018年我国DDoS攻击资源分析报告4/35DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位臵由它的IP地址定位得到。（二）2018年重点关注情况1、2018年利用肉鸡发起DDoS攻击的控制端中，境外控制端最多位于美国；境内控制端最多位于江苏省，其次是浙江省、贵州省和广东省，按归属运营商统计，中国电信占的比例最大。2、2018年参与攻击较多的境内肉鸡地址主要位于江苏省、浙江省和山东省，其中大量肉鸡地址归属于中国电信。当前仍旧存活且持续活跃超过六个月的境内肉鸡资源中，位于广东省、浙江省、山东省的地址占的比例最大。3、2018年被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的是广东省、山东省和河南省；按归属运营商统计，数量最多的是中国电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河南省和河北省；按归属运营商统计，数量最多的是中国联通。被利用发起SSDP反射攻击的境内反射服务器CNCERT2018年我国DDoS攻击资源分析报告5/35数量按省份统计排名前三名的省份是辽宁省、山东省和浙江省；按归属运营商统计，数量最多的是中国联通。4、2018年转发伪造跨域攻击流量的路由器中，归属于新疆维吾尔自治区移动的路由器参与的攻击事件数量最多；跨域伪造流量来源路由器数量按省份统计，最多位于北京市、江苏省和广东省。持续被利用超过三个月的跨域伪造流量来源路由器中，归属于江苏省、北京市和山东省路由器数量最多。5、2018年转发伪造本地攻击流量的路由器中，归属于北京市电信的路由器参与的攻击事件数量最多；本地伪造流量来源路由器数量按省份统计，最多位于江苏省、山东省和河南省。持续被利用超过三个月的本地伪造流量来源路由器中，归属于浙江省、广东省、河南省的路由器数量最多。6、经过一年来针对我国境内的攻击资源的专项治理工作，根据CNCERT自主监测数据，与2017年相比，境内控制端、肉鸡等资源的月活跃数量较2017年有了较明显的下降趋势；境内控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源每月的新增率不变、消亡率呈现一定程度的上升，意味着资源消亡速度加快，可利用的资源数量逐步减少；境内反射服务器资源每月的消亡率不变、新增率呈现一定程度的下降，意味着可新增的资源数量逐步减少。根据外部相关分析报告，我国境内的僵尸网络控制端数量持续减少；我国境内全年DDoS攻击次数明显下降，特别是反射攻击较去年减少了80%。CNCERT2018年我国DDoS攻击资源分析报告6/35二、全年DDoS攻击资源分析（一）控制端资源分析根据CNCERT抽样监测数据，2018年以来利用肉鸡发起DDoS攻击的控制端有2108个，其中，334个控制端位于我国境内，1774个控制端位于境外。位于境外的控制端按国家或地区分布，美国占比最大，占36.3%，其次是中国香港和加拿大，如图1所示。图12018年以来发起DDoS攻击的境外控制端数量按国家或地区分布位于境内的控制端按省份统计，江苏省占比最大，占27.5%，其次是浙江省、贵州省和广东省；按运营商统计，中国电信占比最大，占76.9%，中国联通占9.9%，中国移动占0.9%，如图2所示。CNCERT2018年我国DDoS攻击资源分析报告7/35图22018年以来发起DDoS攻击的境内控制端数量按省份和运营商分布2018年以来发起攻击最多的境内控制端前二十名及归属如表1所示。表12018年以来发起攻击最多的境内控制端TOP20控制端地址归属省份归属运营商或云服务商123.X.X.167山东省中国联通183.X.X.78浙江省中国电信222.X.X.122江苏省中国电信118.X.X.216江西省中国联通123.X.X.146贵州省中国电信27.X.X.234福建省中国电信116.X.X.2广东省中国电信222.X.X.232江苏省中国电信219.X.X.226河南省中国电信117.X.X.110陕西省中国电信123.X.X.147贵州省中国电信183.X.X.243浙江省中国电信183.X.X.90浙江省中国电信125.X.X.100福建省中国电信183.X.X.57广东省中国电信58.X.X.158江苏省中国电信61.X.X.154江苏省中国电信119.X.X.162广东省中国电信222.X.X.7江苏省中国电信220.X.X.54湖南省中国电信CNCERT2018年我国DDoS攻击资源分析报告8/35（二）肉鸡资源分析根据CNCERT抽样监测数据，2018年以来共有1,444,633个肉鸡地址参与真实地址攻击（包含真实地址攻击与反射攻击等其它攻击的混合攻击）。这些肉鸡资源按省份统计，江苏省占比最大，为14.6%，其次是浙江省、山东省和广东省；按运营商统计，中国电信占比最大，为61.6%，中国联通占27.3%，中国移动占9.4%，如图3所示。图32018年以来肉鸡地址数量按省份和运营商分布2018年以来参与攻击最多的肉鸡地址前三十名及归属如表2所示。表22018年以来参与攻击最多的肉鸡地址TOP30肉鸡地址归属省份归属运营商或云服务商60.X.X.174新疆维吾尔自治区中国联通61.X.X.28甘肃省中国电信61.X.X.66青海省中国电信220.X.X..58广西壮族自治区中国电信118.X.X.186甘肃省中国电信221.X.X.129内蒙古自治区中国联通61.X.X.114河南省中国联通CNCERT2018年我国DDoS攻击资源分析报告9/3561.X.X.243内蒙古自治区中国联通222.X.X.186广西壮族自治区中国电信111.X.X.53吉林省中国移动139.X