CNCERT我国DDoS攻击资源月度分析报告2019年3月网络安全2019424页

我国DDoS攻击资源月度分析报告(2019年3月)国家计算机网络应急技术处理协调中心2019年4月CNCERT我国DDoS攻击资源月度分析报告（2019年3月）2/24目录一、引言..................................................................................................................3（一）攻击资源定义.......................................................................................3（二）本月重点关注情况................................................................................4二、DDoS攻击资源分析.........................................................................................5（一）控制端资源分析....................................................................................5（二）肉鸡资源分析.......................................................................................7（三）反射攻击资源分析..............................................................................10（四）发起伪造流量的路由器分析..............................................................201.跨域伪造流量来源路由器.................................................................202.本地伪造流量来源路由器.................................................................22CNCERTCNCERT我国DDoS攻击资源月度分析报告（2019年3月）3/24一、引言（一）攻击资源定义本报告为2019年3月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区CNCERT我国DDoS攻击资源月度分析报告（2019年3月）4/24域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。（二）本月重点关注情况1、本月利用肉鸡发起DDoS攻击的控制端中，境外控制端最多位于美国；境内控制端最多位于江苏省，其次是广东省、辽宁省和浙江省，按归属运营商统计，电信占的比例最大。2、本月参与攻击较多的肉鸡地址主要位于浙江省、江苏省、河南省和广东省，其中大量肉鸡地址归属于电信运营商。2019年以来监测到的持续活跃的肉鸡资源中，位于河南省、江苏省、福建省占的比例最大。3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是河南省、广东省和山东省；数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河北省和湖北省；数量最多的归属运营商是移动。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名CNCERT我国DDoS攻击资源月度分析报告（2019年3月）5/24前三名的省份是辽宁省、浙江省和吉林省；数量最多的归属运营商是联通。4、本月转发伪造跨域攻击流量的路由器中，归属于天津市的路由器参与的攻击事件数量最多，2019年以来被持续利用的跨域伪造流量来源路由器中，归属于江苏省、北京市和天津市路由器数量最多。5、本月转发伪造本地攻击流量的路由器中，归属于浙江省电信的路由器参与的攻击事件数量最多，2019年以来被持续利用的本地伪造流量来源路由器中，归属于浙江省、江苏省、广东省和北京市路由器数量最多。二、DDoS攻击资源分析（一）控制端资源分析根据CNCERT抽样监测数据，2019年3月，利用肉鸡发起DDoS攻击的控制端有252个，其中，26个控制端位于我国境内，226个控制端位于境外。位于境外的控制端按国家或地区分布，美国占的比例最大，占49.1%，其次是中国香港和法国，如图1所示。CNCERT我国DDoS攻击资源月度分析报告（2019年3月）6/24图1本月发起DDoS攻击的境外控制端数量按国家或地区分布位于境内的控制端按省份统计，江苏省占的比例最大，占19.2%，其次是广东省、辽宁省和浙江省；按运营商统计，电信占的比例最大，占65.4%，联通占15.4%，移动占3.8%，如图2所示。图2本月发起DDoS攻击的境内控制端数量按省份和运营商分布本月发起攻击最多的境内控制端前二十名及归属如表1所示，主要位于广东省。表1本月发起攻击最多的境内控制端TOP20控制端地址归属省份归属运营商或云服务商115.X.X.43浙江省电信221.X.X.62海南省移动CNCERT我国DDoS攻击资源月度分析报告（2019年3月）7/2442.X.X.222辽宁省电信222.X.X.108江苏省电信42.X.X.96河南省联通58.X.X.158江苏省电信101.X.X.25浙江省联通183.X.X.26广东省电信118.X.X.194北京市电信120.X.X.114浙江省阿里云101.X.X.113广东省阿里云123.X.X.198贵州省电信59.X.X.88北京市阿里云61.X.X.82江苏省电信122.X.X.135河南省联通14.X.X.168广东省电信59.X.X.237辽宁省电信117.X.X.204北京市待确认118.X.X.207广东省电信118.X.X.156广东省电信2019年至今监测到的控制端中，25.2%的控制端在本月仍处于活跃状态，共计49个，其中位于我国境内的控制端数量为4个，位于境外的控制端数量为45个。持续活跃的境内控制端及归属如表2所示。表22019年以来持续活跃发起DDOS攻击的境内控制端控制端地址归属省份归属运营商118.X.X.207广东省电信120.X.X.114浙江省阿里云118.X.X.156广东省电信118.X.X.194北京市电信（二）肉鸡资源分析根据CNCERT抽样监测数据，2019年3月，共有204,299个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。这些肉鸡资源按省份统计，浙江省占的比例最大，为CNCERT我国DDoS攻击资源月度分析报告（2019年3月）8/2412.5%，其次是江苏省、河南省和广东省；按运营商统计，电信占的比例最大，为68.4%，联通占20.7%，移动占7.7%，如图3所示。图3本月肉鸡地址数量按省份和运营商分布本月参与攻击最多的肉鸡地址前二十名及归属如表3所示，位于浙江省的地址最多。表3本月参与攻击最多的肉鸡地址TOP20肉鸡地址归属省份归属运营商或云服务商36.X.X.125内蒙古自治区电信122.X.X.10湖北省联通103.X.X.3天津市电信183.X.X.226浙江省电信183.X.X.98浙江省电信121.X.X.99广西壮族自治区联通61.X.X.114浙江省电信210.X.X.170北京市联通183.X.X.86浙江省电信140.X.X.138北京市腾讯云59.X.X.240辽宁省电信223.X.X.3北京市移动58.X.X.118湖北省电信140.X.X.29北京市联通122.X.X.61浙江省电信103.X.X.154北京市待确认183.X.X.99浙江省电信CNCERT我国DDoS攻击资源月度分析报告（2019年3月）9/2436.X.X.7北京市电信118.X.X.31天津市电信122.X.X.218浙江省电信2019年至今监测到的肉鸡资源中，共计55,970个肉鸡在本月仍处于活跃状态，其中位于我国境内的肉鸡数量为53,151个，位于境外的肉鸡数量为2,819个。2019年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。表42019年以来被利用发起DDoS攻击数量排名TOP20且在本月持续活跃的肉鸡地址肉鸡地址归属省份归属运营商36.X.X.125内蒙古自治区电信122.X.X.10湖北省联通113.X.X.16陕西省电信218.X.X.249广西壮族自治区电信14.X.X.41广东省电信112.X.X.170广东省联通58.X.X.131广东省联通120.X.X.50广东省联通14.X.X.241广东省电信112.X.X.51广东省联通113.X.X.167湖北省联通119.X.X.89广东省电信183.X.X.50湖北省联通118.X.X.139吉林省联通183.X.X.60广东省电信120.X.X.229宁夏回族自治区移动111.X.X.53吉林省移动122.X.X.110吉林省联通59.X.X.2辽宁省电信117.X.X.17江西省电信2019年至今持续活跃的境内肉鸡资源按省份统计，河南省占的比例最大，占23.3%，其次是江苏省、福建省和安徽省；按运营商统计，电信占的比例最大，占82.6%，联通占11.3%，移动占2.6%，如图4所示。CNCERT我国DDoS攻击资源月度分析报告（2019年3月）10/24图42019年以来持续活跃的肉鸡数量按省份和运营商分布（三）反射攻击资源分析根据CNCERT抽样监测数据，2019年3月，利用反射服务器发起的三类重点反射攻击共涉及1,303,733台反射服务器，其中境内反射服务器946,672台，境外反射服务器357,061台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有10,203台，占比0.8%，其中境内反射服务器7,096台，境外反射服务器3,107台；利用NTP反射发起反射攻击的反射服务器有573,453台，占比44.0%，其中境内反射服务器394,888台，境外反射服务器178,565台；利用SSDP反射发起反射攻击的反射服务器有720,076台，占比55.2%，其中境内反射服务器544,688台，境外反射服务器175,388台。CNCERT我国DDoS攻击资源月度分析报告（2019年3月）11/24（1）Memcached反射服务器资源Memcached反