1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于江苏省,其次是广东省、辽宁省和浙江省,按归属运营商统计,电信占的比例最大。
2、本月参与攻击较多的肉鸡地址主要位于江苏省、浙江省、福建省和山东省,其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中,位于江苏省、福建省、山东省占的比例最大。
3、
本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是河南省、山东省和广东省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河北省和河南省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、浙江省和吉林省;数量最多的归属运营商是联通
。
4、
本月转发伪造跨域攻击流量的路由器中,归属于北京市的路由器参与的攻击事件数量最多,2018年以来被持续利用的跨域伪造流量来源路由器中,归属于江苏省、北京市和山东省路由器数量最多
。
5、
本月转发伪造本地攻击流量的路由器中,归属于吉林省联通的路由器参与的攻击事件数量最多,2018年以来被持续利用的本地伪造流量来源路由器中,归属于江苏省、山东省、河南省和和浙江省路由器数量最多
。
本报告为2018年12月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括
:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
根据CNCERT抽样监测数据,2018年12月,利用肉鸡发起DDoS攻击的控制端有286个,其中,36个控制端位于我国境内,250个控制端位于境外。
位于境外的控制端按国家或地区分布,美国占的比例最大,占46.8%,其次是法国和中国香港,如图1所示。
图1 本月发起DDoS攻击的境外控制端数量按国家或地区分布
位于境内的控制端按省份统计,江苏省占的比例最大,占36.1%,其次是广东省、辽宁省和浙江省;按运营商统计,电信占的比例最大,占75.0%,联通占11.1%,如图2所示
。
图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布
本月发起攻击最多的境内控制端前二十名及归属如表1所示,位于江苏省的数量最多
。
表1 本月发起攻击最多的境内控制端TOP20
|
控制端地址
|
归属省份
|
归属运营商或云服务商
|
|
61.X.X.154
|
江苏省
|
电信
|
|
183.X.X.57
|
广东省
|
电信
|
|
221.X.X.64
|
江苏省
|
电信
|
|
125.X.X.5
|
四川省
|
电信
|
|
222.X.X.7
|
江苏省
|
电信
|
|
43.X.X.14
|
福建省
|
联通
|
|
115.X.X.165
|
浙江省
|
电信
|
|
118.X.X.207
|
广东省
|
电信
|
|
119.X.X.120
|
广东省
|
电信
|
|
43.X.X.43
|
天津市
|
联通
|
|
119.X.X.225
|
福建省
|
电信
|
|
222.X.X.48
|
江苏省
|
电信
|
|
115.X.X.151
|
浙江省
|
电信
|
|
120.X.X.114
|
广东省
|
阿里云
|
|
218.X.X.138
|
江苏省
|
电信
|
|
118.X.X.142
|
广东省
|
电信
|
|
58.X.X.90
|
江苏省
|
电信
|
|
183.X.X.71
|
广东省
|
电信
|
|
42.X.X.3
|
河南省
|
联通
|
|
222.X.X.151
|
江苏省
|
电信
|
2018年1月至今监测到的控制端中,4.8%的控制端在本月仍处于活跃状态,共计92个,其中位于我国境内的控制端数量为15个,位于江苏省的数量最多;位于境外的控制端数量为77个。持续活跃的境内控制端及归属如表2所示
。
表2 2018年以来持续活跃发起DDOS攻击的境内控制端
|
控制端地址
|
归属省份
|
归属运营商或云服务商
|
|
222.X.X.156
|
江苏省
|
电信
|
|
117.X.X.204
|
北京市
|
待确认
|
|
222.X.X.16
|
江苏省
|
电信
|
|
115.X.X.165
|
浙江省
|
电信
|
|
222.X.X.15
|
江苏省
|
电信
|
|
183.X.X.57
|
广东省
|
电信
|
|
120.X.X.114
|
浙江省
|
阿里云
|
|
119.X.X.225
|
福建省
|
电信
|
|
222.X.X.230
|
江苏省
|
电信
|
|
43.X.X.43
|
天津市
|
联通
|
|
222.X.X.7
|
江苏省
|
电信
|
|
222.X.X.151
|
江苏省
|
电信
|
|
218.X.X.138
|
江苏省
|
电信
|
|
180.X.X.199
|
江苏省
|
电信
|
|
182.X.X.227
|
上海市
|
腾讯云
|
根据CNCERT抽样监测数据,2018年12月,共有315,054个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)
。
这些肉鸡资源按省份统计,江苏省占的比例最大,为19.1%,其次是浙江省、福建省和山东省;按运营商统计,电信占的比例最大,为78.1%,联通占16.6%,移动占3.9%,如图3所示。
图3 本月肉鸡地址数量按省份和运营商分布
月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于广东省的地址最多
。
表3 本月参与攻击最多的肉鸡地址TOP20
|
肉鸡地址
|
归属省份
|
归属运营商
|
|
42.X.X.242
|
黑龙江省
|
电信
|
|
118.X.X.20
|
甘肃省
|
电信
|
|
211.X.X.196
|
吉林省
|
移动
|
|
220.X.X.58
|
广西壮族自治区
|
电信
|
|
222.X.X.18
|
吉林省
|
联通
|
|
111.X.X.53
|
吉林省
|
移动
|
|
61.X.X.231
|
甘肃省
|
电信
|
|
1.X.X.6
|
内蒙古自治区
|
联通
|
|
36.X.X.125
|
内蒙古自治区
|
电信
|
|
124.X.X.26
|
内蒙古自治区
|
联通
|
|
203.X.X.10
|
广东省
|
电信
|
|
112.X.X.170
|
广东省
|
联通
|
|
14.X.X.241
|
广东省
|
电信
|
|
59.X.X.82
|
广东省
|
电信
|
|
58.X.X.131
|
广东省
|
联通
|
|
115.X.X.220
|
天津市
|
电信
|
|
123.X.X.34
|
天津市
|
电信
|
|
36.X.X.24
|
浙江省
|
电信
|
|
113.X.X.149
|
广东省
|
电信
|
|
115.X.X.74
|
江西省
|
电信
|
2018年1月至今监测到的肉鸡资源中,共计150,004个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为135,203个,位于境外的肉鸡数量为14,801个。2018年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示
。
表4 2018年以来被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址
|
肉鸡地址
|
归属省份
|
归属运营商
|
|
60.X.X.174
|
新疆维吾尔自治区
|
联通
|
|
6.X.X.28
|
甘肃省
|
电信
|
|
61.X.X.66
|
青海省
|
电信
|
|
220.X.X.58
|
广西壮族自治区
|
电信
|
|
118.X.X.186
|
甘肃省
|
电信
|
|
221.X.X.129
|
内蒙古自治区
|
联通
|
|
61.X.X.243
|
内蒙古自治区
|
联通
|
|
222.X.X.186
|
广西壮族自治区
|
电信
|
|
111.X.X.53
|
吉林省
|
移动
|
|
202.X.X.202
|
北京市
|
联通
|
|
221.X.X.144
|
贵州省
|
联通
|
|
175.X.X.131
|
湖南省
|
电信
|
|
42.X.X.155
|
上海市
|
电信
|
|
60.X.X.211
|
山西省
|
联通
|
|
183.X.X.79
|
浙江省
|
电信
|
|
222.X.X.242
|
贵州省
|
电信
|
|
211.X.X.78
|
上海市
|
联通
|
|
27.X.X.250
|
上海市
|
联通
|
|
112.X.X.234
|
江苏省
|
联通
|
|
60.X.X.30
|
安徽省
|
电信
|
2018年1月至今持续活跃的境内肉鸡资源按省份统计,江苏省占的比例最大,占16.8%,其次是福建省、山东省和河南省;按运营商统计,电信占的比例最大,占78.7%,联通占14.3%,移动占4.8%,如图4所示。
图4 2018年以来持续活跃的肉鸡数量按省份和运营商分布
根据CNCERT抽样监测数据,2018年12月,利用反射服务器发起的三类重点反射攻击共涉及2,361,588台反射服务器,其中境内反射服务器1,542,296台,境外反射服务器819,292台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有12,254台,占比0.5%,其中境内反射服务器8,667台,境外反射服务器3,587台;利用NTP反射发起反射攻击的反射服务器有862,370台,占比36.5%,其中境内反射服务器474,081台,境外反射服务器388,289台;利用SSDP反射发起反射攻击的反射服务器有1,486,964台,占比63.0%,其中境内反射服务器1,059,548台,境外反射服务器427,416台
。
(1)Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年12月,利用Memcached服务器实施反射攻击的事件共涉及境内8,667台反射服务器,境外3,587台反射服务器
。
本月境内反射服务器数量按省份统计,河南省占的比例最大,占28.1%,其次是山东省、广东省和浙江省;按归属运营商或云服务商统计,电信占的比例最大,占44.3%,联通占比21.1%,移动占比18.0%,阿里云占比9.1%,如图5所示
。
图5 本月境内Memcached反射服务器数量按省份、运营商或云服务商分布
本月境外Memcached反射服务器数量按国家或地区统计,美国占的比例最大,占30.2%,其次是俄罗斯、中国香港和加拿大,如图6所示
。
图6 本月境外反射服务器数量按国家或地区分布
本月被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,位于广东省的地址最多
。
表5 本月境内被利用发起Memcached反射攻击事件数量中排名TOP30的反射服务器
|
反射服务器地址
|
归属省份
|
归属运营商或云服务商
|
|
202.X.X.66
|
广东省
|
联通
|
|
118.X.X.239
|
甘肃省
|
电信
|
|
220.X.X.240
|
浙江省
|
电信
|
|
106.X.X.51
|
北京市
|
电信
|
|
119.X.X.127
|
广东省
|
阿里云
|
|
121.X.X.147
|
浙江省
|
电信
|
|
60.X.X.57
|
浙江省
|
电信
|
|
223.X.X.13
|
四川省
|
移动
|
|
183.X.X.60
|
湖北省
|
联通
|
|
14.X.X.4
|
广东省
|
电信
|
|
113.X.X.232
|
广东省
|
电信
|
|
121.X.X.37
|
浙江省
|
阿里云
|
|
122.X.X.204
|
浙江省
|
电信
|
|
61.X.X.176
|
安徽省
|
电信
|
|
182.X.X.173
|
广东省
|
电信
|
|
120.X.X.43
|
广东省
|
阿里云
|
|
117.X.X.42
|
新疆维吾尔自治区
|
移动
|
|
112.X.X.214
|
浙江省
|
电信
|
|
222.X.X.67
|
新疆维吾尔自治区
|
电信
|
|
220.X.X.159
|
安徽省
|
电信
|
|
121.X.X.82
|
浙江省
|
电信
|
|
116.X.X.67
|
广东省
|
联通
|
|
222.X.X.125
|
北京市
|
联通
|
|
202.X.X.100
|
山西省
|
联通
|
|
61.X.X.175
|
湖北省
|
电信
|
|
123.X.X.251
|
北京市
|
阿里云
|
|
220.X.X.202
|
安徽省
|
电信
|
|
42.X.X.73
|
辽宁省
|
电信
|
|
121.X.X.188
|
北京市
|
联通
|
|
222.X.X.246
|
湖南省
|
电信
|
近两月被利用发起攻击的Memcached反射服务器中,共计3,799个在本月仍处于活跃状态。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,广东省占的比例最大,占14.7%,其次是福建省、浙江省、和北京市;按运营商或云服务统计,电信占的比例最大,占24.0%,阿里云占22.8%,移动占18.5%,联通占13.4%,如图7所示
。
图7 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商或云服务商分布
(2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年12月,NTP反射攻击事件共涉及我国境内474,081台反射服务器,境外388,289台反射服务器
。
本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占18.2%,其次是河北省、河南省和湖北省;按归属运营商统计,联通占的比例最大,占40.2%,移动占比39.1%,电信占比20.2%,如图8所示
。
图8 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占58.8%,其次是澳大利亚、巴西和巴基斯坦,如图9所示
。
图9 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布
本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于山西省的地址最多
。
表6 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30
|
反射服务器地址
|
归属省份
|
归属运营商
|
|
211.X.X.54
|
山西省
|
移动
|
|
211.X.X.150
|
山西省
|
移动
|
|
111.X.X.70
|
山西省
|
移动
|
|
111.X.X.75
|
山西省
|
移动
|
|
183.X.X.10
|
山西省
|
移动
|
|
211.X.X.66
|
山西省
|
移动
|
|
111.X.X.30
|
山西省
|
移动
|
|
111.X.X.9
|
山西省
|
移动
|
|
111.X.X.206
|
山西省
|
移动
|
|
111.X.X.113
|
山西省
|
移动
|
|
112.X.X.182
|
安徽省
|
移动
|
|
111.X.X.247
|
山西省
|
移动
|
|
183.X.X.72
|
山西省
|
移动
|
|
211.X.X.180
|
山西省
|
移动
|
|
111.X.X.245
|
山西省
|
移动
|
|
111.X.X.144
|
山西省
|
移动
|
|
111.X.X.14
|
山西省
|
移动
|
|
111.X.X.237
|
山西省
|
移动
|
|
111.X.X.21
|
山西省
|
移动
|
|
183.X.X.216
|
山西省
|
移动
|
|
211.X.X.78
|
山西省
|
移动
|
|
112.X.X.209
|
安徽省
|
移动
|
|
183.X.X.214
|
山西省
|
移动
|
|
183.X.X.70
|
山西省
|
移动
|
|
211.X.X.226
|
山西省
|
移动
|
|
112.X.X.80
|
安徽省
|
移动
|
|
218.X.X.242
|
贵州省
|
移动
|
|
183.X.X.52
|
山西省
|
移动
|
|
111.X.X.131
|
山西省
|
移动
|
|
183.X.X.174
|
山西省
|
移动
|
近两月被持续利用发起攻击的NTP反射服务器中,共计322,466个在本月仍处于活跃状态,其中201,245个位于境内,121,221个位于境外。持续活跃的NTP反射服务器按省份统计,河北省占的比例最大,占24.0%,其次是山东省、湖北省和河南省;按运营商统计,联通占的比例最大,占40.7%,移动占38.7%,电信占20.0%,如图10所示
。
图10 近两月被持续利用发起攻击的NTP反射服务器数量按省份运营商分布
(3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年12月,SSDP反射攻击事件共涉及境内1,059,548台反射服务器,境外427,416台反射服务器
。
本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占22.8%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占61.3%,电信占比37.2%,移动占比1.3%,如图11所示
。
图11 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占29.1%,其次是中国台湾、意大利和美国,如图12所示
。
图12 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布
本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表7所示,位于广东省的地址最多
。
表7 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器
|
反射服务器地址
|
归属省份
|
归属运营商
|
|
112.X.X.50
|
云南省
|
电信
|
|
1.X.X.14
|
内蒙古自治区
|
电信
|
|
121.X.X.74
|
广东省
|
电信
|
|
121.X.X.234
|
广东省
|
电信
|
|
1.X.X.10
|
内蒙古自治区
|
电信
|
|
116.X.X.106
|
上海市
|
电信
|
|
1.X.X.94
|
内蒙古自治区
|
电信
|
|
123.X.X.238
|
内蒙古自治区
|
电信
|
|
122.X.X.50
|
山东省
|
电信
|
|
125.X.X.121
|
甘肃省
|
电信
|
|
180.X.X.86
|
江苏省
|
电信
|
|
14.X.X.130
|
广东省
|
电信
|
|
122.X.X.198
|
山东省
|
电信
|
|
1.X.X.38
|
内蒙古自治区
|
电信
|
|
119.X.X.226
|
广东省
|
电信
|
|
113.X.X.141
|
广东省
|
电信
|
|
122.X.X.151
|
山东省
|
电信
|
|
1.X.X.246
|
内蒙古自治区
|
电信
|
|
119.X.X.6
|
广东省
|
电信
|
|
119.X.X.162
|
广东省
|
电信
|
|
122.X.X.114
|
山东省
|
电信
|
|
122.X.X.207
|
山东省
|
电信
|
|
119.X.X.138
|
广东省
|
电信
|
|
114.X.X.5
|
贵州省
|
电信
|
|
122.X.X.38
|
山东省
|
电信
|
|
113.X.X.139
|
广东省
|
电信
|
|
113.X.X.198
|
广东省
|
电信
|
|
116.X.X.74
|
广东省
|
电信
|
|
122.X.X.250
|
山东省
|
电信
|
|
118.X.X.118
|
甘肃省
|
电信
|
近两月被持续利用发起攻击的SSDP反射服务器中,共计335,399个在本月仍处于活跃状态,其中163,790个位于境内,171,609个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,辽宁省占的比例最大,占26.7%,其次是吉林省、浙江省和广东省;按运营商统计,联通占的比例最大,占67.1%,电信占29.4%,移动占3.1%,如图13所示
。
图13 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布
(4)发起伪造流量的路由器分析
1. 跨域伪造流量来源路由器
根据CNCERT抽样监测数据,2018年12月,通过跨域伪造流量发起攻击的流量来源于188个路由器。根据参与攻击事件的数量统计,归属于北京市的路由器(150.X.X.2、150.X.X.1)以及归属于北京市电信的路由器(220.X.X.243)参与的攻击事件数量最多,其次是归属于天津市(202.X.X.118)的路由器,如表8所示。
表8 本月参与攻击最多的跨域伪造流量来源路由器TOP25
