CNNERT我国DDoS攻击资源月度分析报告网络安全20181023页

我国DDoS攻击资源月度分析报告(2018年9月)国家计算机网络应急技术处理协调中心2018年10月CNCERT我国DDoS攻击资源月度分析报告（2018年9月）2/23目录一、引言........................................................................................................................3（一）攻击资源定义............................................................................................3（二）本月重点关注情况....................................................................................4二、DDoS攻击资源分析..............................................................................................5（一）控制端资源分析........................................................................................5（二）肉鸡资源分析............................................................................................7（三）反射攻击资源分析..................................................................................10（四）发起伪造流量的路由器分析..................................................................201.跨域伪造流量来源路由器....................................................................202.本地伪造流量来源路由器....................................................................21CNCERTCNCERT我国DDoS攻击资源月度分析报告（2018年9月）3/23一、引言（一）攻击资源定义本报告为2018年9月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区CNCERT我国DDoS攻击资源月度分析报告（2018年9月）4/23域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。（二）本月重点关注情况1、本月利用肉鸡发起DDoS攻击的控制端中，境外控制端最多位于美国；境内控制端最多位于江苏省，其次是浙江省、广东省和辽宁省，按归属运营商统计，电信占的比例最大。2、本月参与攻击较多的肉鸡地址主要位于浙江省、山东省、江苏省和广东省，其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中，位于山东省、广东省、浙江省占的比例最大。3、本月被利用发起Memcached反射攻击境内反射服务器数量相比上月有上升，按省份统计排名前三名的省份是广东省、山东省和浙江省；数量最多的归属运营商是电信。占被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河北省和湖北省；数量最多的归属运营商是移动。被利用发起SSDP反射攻击的境内反射服务器数CNCERT我国DDoS攻击资源月度分析报告（2018年9月）5/23量按省份统计排名前三名的省份是辽宁省、山东省和江苏省；数量最多的归属运营商是联通。4、本月转发伪造跨域攻击流量的路由器中，归属于北京市的路由器参与的攻击事件数量最多，2018年以来被持续利用的跨域伪造流量来源路由器中，归属于北京市、浙江省和上海市路由器数量最多。5、本月转发伪造本地攻击流量的路由器中，归属于江西省电信和北京市电信的路由器参与的攻击事件数量最多，2018年以来被持续利用的本地伪造流量来源路由器中，归属于江苏省、山东省、浙江省和河南省路由器数量最多。二、DDoS攻击资源分析（一）控制端资源分析根据CNCERT抽样监测数据，2018年9月，利用肉鸡发起DDoS攻击的控制端有276个，其中，32个控制端位于我国境内，244个控制端位于境外。位于境外的控制端按国家或地区分布，美国占的比例最大，占37.7%，其次是加拿大和俄罗斯，如图1所示。图1本月发起DDoS攻击的境外控制端数量按国家或地区分布CNCERT我国DDoS攻击资源月度分析报告（2018年9月）6/23位于境内的控制端按省份统计，江苏省占的比例最大，占34.4%，其次是浙江省、广东省和辽宁省；按运营商统计，电信占的比例最大，占68.8%，联通占9.4%，如图2所示。图2本月发起DDoS攻击的境内控制端数量按省份和运营商分布发起攻击最多的境内控制端前二十名及归属如表1所示，主要位于江苏省。表1本月发起攻击最多的境内控制端TOP20控制端地址归属省份归属运营商或云服务商222.X.X.122江苏省电信222.X.X.216江苏省电信218.X.X.60辽宁省联通120.X.X.114广东省阿里云58.X.X.29江苏省电信27.X.X.169福建省电信59.X.X.88北京市阿里云111.X.X.186江西省电信222.X.X.30江苏省电信183.X.X.107广东省电信222.X.X.8江苏省电信139.X.X.51上海市阿里云119.X.X.215广东省电信58.X.X.93江苏省电信115.X.X.17浙江省电信222.X.X.105江苏省电信125.X.X.3广东省电信CNCERT我国DDoS攻击资源月度分析报告（2018年9月）7/23218.X.X.71辽宁省联通222.X.X.223江苏省电信119.X.X.77山东省联通2018年1月至今监测到的控制端中，5.4%的控制端在本月仍处于活跃状态，共计72个，其中位于我国境内的控制端数量为9个，位于境外的控制端数量为63个。持续活跃的境内控制端及归属如表2所示。表22018年以来持续活跃发起DDOS攻击的境内控制端控制端地址归属省份归属运营商或云服务商111.X.X.186江西省电信139.X.X.51上海市阿里云218.X.X.71辽宁省联通58.X.X.29江苏省电信222.X.X.216江苏省电信211.X.X.89四川省电信125.X.X.3广东省电信183.X.X.90浙江省电信58.X.X.93江苏省电信（二）肉鸡资源分析根据CNCERT抽样监测数据，2018年9月，共有126,336个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。这些肉鸡资源按省份统计，浙江省占的比例最大，为14.8%，其次是山东省、江苏省和广东省；按运营商统计，电信占的比例最大，为54.1%，联通占34.8%，移动占8.0%，如图3所示。CNCERT我国DDoS攻击资源月度分析报告（2018年9月）8/23图3本月肉鸡地址数量按省份和运营商分布本月参与攻击最多的肉鸡地址前二十名及归属如表3所示，位于北京市的地址最多。表3本月参与攻击最多的肉鸡地址TOP20肉鸡地址归属省份归属运营商60.X.X.174新疆维吾尔族自治区联通61.X.X.28甘肃省电信61.X.X.114河南省联通61.X.X.66青海省电信139.X.X.208北京市待确认118.X.X.186甘肃省电信175.X.X.131湖南省电信58.X.X.114湖南省联通112.X.X.146安徽省联通222.X.X.242贵州省电信202.X.X.138新疆维吾尔族自治区电信222.X.X.186广西壮族自治区电信61.X.X.243内蒙古自治区联通202.X.X.202北京市联通112.X.X.234江苏省联通219.X.X.97黑龙江省电信114.X.X.253北京市待确认221.X.X.129内蒙古自治区联通42.X.X.155上海市电信111.X.X.69河南省移动2018年1月至今监测到的肉鸡资源中，共计60,225个肉CNCERT我国DDoS攻击资源月度分析报告（2018年9月）9/23鸡在本月仍处于活跃状态，其中位于我国境内的肉鸡数量为46,789个，位于境外的肉鸡数量为13,436个。2018年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。表42018年以来被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址肉鸡地址归属省份归属运营商60.X.X.174新疆维吾尔族自治区联通61.X.X.28甘肃省电信61.X.X.114河南省联通61.X.X.66青海省电信139.X.X.208北京市待确认118.X.X.186甘肃省电信175.X.X.131湖南省电信58.X.X.114湖南省联通112.X.X.146安徽省联通222.X.X.242贵州省电信202.X.X.138新疆维吾尔族自治区电信222.X.X.186广西壮族自治区电信61.X.X.243内蒙古自治区联通202.X.X.202北京市待确认112.X.X.234江苏省联通219.X.X.97黑龙江省电信114.X.X.253北京市待确认221.X.X.129内蒙古自治区联通42.X.X.155北京市待确认111.X.X.69河南省移动2018年1月至今持续活跃的境内肉鸡资源按省份统计，山东省占的比例最大，占13.5%，其次是广东省、浙江省和江苏省；按运营商统计，电信占的比例最大，占50.3%，联通占31.5%，移动占12.3%，如图4所示。CNCERT我国DDoS攻击资源月度分析报告（2018年9月）10/23图42018年以来持续活跃的肉鸡数量按省份和运营商分布（三）反射攻击资源分析根据CNCERT抽样监测数据，2018年9月，利用反射服务器发起的三类重点反射攻击共涉及3,253,770台反射服务器，其中境内反射服务器2,855,079台，境外反射服务器398,691台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有14,534台，占比0.4%，其中境内反射服务器11,794台，境外反射服务器2,740台；利用NTP反射发起反射攻击的反射服务器有708,215台，占比21.8%，