一
、引言
(一) 攻击资源定义
(二) 2018年重点关注情况
二、全年DDoS攻击资源分析
(一) 控制端资源分析
(二) 肉鸡资源分析
(三) 反射攻击资源分析
1. Memcached反射服务器资源
2. NTP反射服务器资源
3. SSDP反射服务器资源
(四) 发起伪造流量的路由器分析
1. 跨域伪造流量来源路由器
2. 本地伪造流量来源路由器
三、我国境内攻击资源年度活跃及治理情况分析
(一) 我国境内攻击资源年度活跃趋势
1. 控制端资源
2. 肉鸡资源
3. 反射服务器资源
4. 跨域伪造流量来源路由器资源
5. 本地伪造流量来源路由器资源
(二) DDoS攻击资源治理情况及典型案例
1. 控制端资源
2. 反射服务器资源
3. 伪造流量来源路由器资源
四、下一步DDoS攻击资源治理建议
一、引言
(一)攻击资源定义
本报告为2018年的DDoS攻击资源年度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
(二)2018年重点关注情况
1、2018年利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于江苏省,其次是浙江省、贵州省和广东省,按归属运营商统计,中国电信占的比例最大。
2、2018年参与攻击较多的境内肉鸡地址主要位于江苏省、浙江省和山东省,其中大量肉鸡地址归属于中国电信。当前仍旧存活且持续活跃超过六个月的境内肉鸡资源中,位于广东省、浙江省、山东省的地址占的比例最大。
3、2018年被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的是广东省、山东省和河南省;按归属运营商统计,数量最多的是中国电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河南省和河北省;按归属运营商统计,数量最多的是中国联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、山东省和浙江省;按归属运营商统计,数量最多的是中国联通。
4、2018年转发伪造跨域攻击流量的路由器中,归属于新疆维吾尔自治区移动的路由器参与的攻击事件数量最多;跨域伪造流量来源路由器数量按省份统计,最多位于北京市、江苏省和广东省。持续被利用超过三个月的跨域伪造流量来源路由器中,归属于江苏省、北京市和山东省路由器数量最多。
5、2018年转发伪造本地攻击流量的路由器中,归属于北京市电信的路由器参与的攻击事件数量最多;本地伪造流量来源路由器数量按省份统计,最多位于江苏省、山东省和河南省。持续被利用超过三个月的本地伪造流量来源路由器中,归属于浙江省、广东省、河南省的路由器数量最多。
6、经过一年来针对我国境内的攻击资源的专项治理工作,
根据CNCERT自主监测数据,
与2017年相比,境内控制端、肉鸡等资源的月活跃数量较2017年有了较明显的下降趋势;境内控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源每月的新增率不变、消亡率呈现一定程度的上升,意味着资源消亡速度加快,可利用的资源数量逐步减少;境内反射服务器资源每月的消亡率不变、新增率呈现一定程度的下降,意味着可新增的资源数量逐步减少。
根据外部相关分析报告,
我国境内的僵尸网络控制端数量持续减少;我国境内全年DDoS攻击次数明显下降,特别是反射攻击较去年减少了80%。
二、全年DDoS攻击资源分析
(一)控制端资源分析
根据CNCERT抽样监测数据,2018年以来利用肉鸡发起DDoS攻击的控制端有2108个,其中,334个控制端位于我国境内,1774个控制端位于境外。
位于境外的控制端按国家或地区分布,美国占比最大,占36.3%,其次是中国香港和加拿大,如图1所示。
图1 2018年以来发起DDoS攻击的境外控制端数量按国家或地区分布
位于境内的控制端按省份统计,江苏省占比最大,占27.5%,其次是浙江省、贵州省和广东省;按运营商统计,中国电信占比最大,占76.9%,中国联通占9.9%,中国移动占0.9%,如图2所示。
图2 2018年以来发起DDoS攻击的境内控制端数量按省份和运营商分布
2018年以来发起攻击最多的境内控制端前二十名及归属如表1所示。
表1 2018年以来发起攻击最多的境内控制端TOP20
|
控制端地址
|
归属省份
|
归属运营商或云服务商
|
|
123.X.X.167
|
山东省
|
中国联通
|
|
183.X.X.78
|
浙江省
|
中国电信
|
|
222.X.X.122
|
江苏省
|
中国电信
|
|
118.X.X.216
|
江西省
|
中国联通
|
|
123.X.X.146
|
贵州省
|
中国电信
|
|
27.X.X.234
|
福建省
|
中国电信
|
|
116.X.X.2
|
广东省
|
中国电信
|
|
222.X.X.232
|
江苏省
|
中国电信
|
|
219.X.X.226
|
河南省
|
中国电信
|
|
117.X.X.110
|
陕西省
|
中国电信
|
|
123.X.X.147
|
贵州省
|
中国电信
|
|
183.X.X.243
|
浙江省
|
中国电信
|
|
183.X.X.90
|
浙江省
|
中国电信
|
|
125.X.X.100
|
福建省
|
中国电信
|
|
183.X.X.57
|
广东省
|
中国电信
|
|
58.X.X.158
|
江苏省
|
中国电信
|
|
61.X.X.154
|
江苏省
|
中国电信
|
|
119.X.X.162
|
广东省
|
中国电信
|
|
222.X.X.7
|
江苏省
|
中国电信
|
|
220.X.X.54
|
湖南省
|
中国电信
|
(二)肉鸡资源分析
根据CNCERT抽样监测数据,2018年以来共有1,444,633个肉鸡地址参与真实地址攻击(包含真实地址攻击与反射攻击等其它攻击的混合攻击)。
这些肉鸡资源按省份统计,江苏省占比最大,为14.6%,其次是浙江省、山东省和广东省;按运营商统计,中国电信占比最大,为61.6%,中国联通占27.3%,中国移动占9.4%,如图3所示。
图3 2018年以来肉鸡地址数量按省份和运营商分布
2018年以来参与攻击最多的肉鸡地址前三十名及归属如表2所示。
表2 2018年以来参与攻击最多的肉鸡地址TOP30
|
肉鸡地址
|
归属省份
|
归属运营商或云服务商
|
|
60.X.X.174
|
新疆维吾尔自治区
|
中国联通
|
|
61.X.X.28
|
甘肃省
|
中国电信
|
|
61.X.X.66
|
青海省
|
中国电信
|
|
220.X.X..58
|
广西壮族自治区
|
中国电信
|
|
118.X.X.186
|
甘肃省
|
中国电信
|
|
221.X.X.129
|
内蒙古自治区
|
中国联通
|
|
61.X.X.114
|
河南省
|
中国联通
|
|
61.X.X.243
|
内蒙古自治区
|
中国联通
|
|
222.X.X.186
|
广西壮族自治区
|
中国电信
|
|
111.X.X.53
|
吉林省
|
中国移动
|
|
139.X.X.208
|
北京市
|
待确认
|
|
202.X.X.202
|
北京市
|
中国联通
|
|
221.X.X.144
|
贵州省
|
中国联通
|
|
202.X.X.138
|
新疆维吾尔自治区
|
中国电信
|
|
42.X.X.155
|
上海市
|
中国电信
|
|
175.X.X.131
|
湖南省
|
中国电信
|
|
222.X.X.242
|
贵州省
|
中国电信
|
|
60.X.X.211
|
山西省
|
中国联通
|
|
58.X.X.114
|
湖南省
|
中国联通
|
|
183.X.X.79
|
浙江省
|
中国电信
|
|
112.X.X.146
|
安徽省
|
中国联通
|
|
211.X.X.78
|
上海市
|
中国联通
|
|
27.X.X.250
|
上海市
|
中国联通
|
|
112.X.X.234
|
江苏省
|
中国联通
|
|
219.X.X.97
|
黑龙江省
|
中国电信
|
|
114.X.X.253
|
北京市
|
待确认
|
|
60.X.X.30
|
安徽省
|
中国电信
|
|
42.X.X.56
|
上海市
|
中国电信
|
|
218.X.X.182
|
河南省
|
中国联通
|
|
111.X.X.69
|
河南省
|
中国移动
|
(三)反射攻击资源分析
根据CNCERT抽样监测数据,2018年以来利用反射服务器发起的三类重点反射攻击共涉及19,708,130台反射服务器,其中境内反射服务器16,549,970台,境外反射服务器3,158,160台。被利用发起Memcached反射攻击的反射服务器有232,282台,占比1.2%,其中境内187,247台,境外45,035台;被利用发起NTP反射攻击的反射服务器有3,200,200台,占比16.2%,其中境内2,040,066台,境外1,160,134台;被利用发起SSDP反射攻击的反射服务器有16,275,648台,占比82.6%,其中境内14,322,657台,境外1,952,991台。
1.Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器的默认11211端口发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年以来利用Memcached服务器实施反射攻击的事件共涉及境内187,247台反射服务器,境外45,035台反射服务器。
2018年以来境内反射服务器数量按省份统计,广东省占比最大,占14.1%,其次是山东省、河南省和江苏省;按归属运营商或云服务商统计,中国电信占比最大,占53.5%,中国移动占23.8%,中国联通占13.4%,阿里云占4.5%,如图4所示。
图4 2018年以来境内Memcached反射服务器数量按省份、运营商或云服务商分布
2018年以来被利用发起攻击的境外Memcached反射服务器数量按国家或地区统计,美国占比最大,占25.2%,其次是中国香港、法国和日本,如图5所示。
图5 2018年以来境外Memcached反射服务器数量按国家或地区分布
2018年被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表3所示,位于北京市的地址最多。
表3 2018年以来境内被利用发起Memcached反射攻击的反射服务器按涉事件数量TOP30
|
反射服务器地址
|
归属省份
|
归属运营商或云服务商
|
|
106.X.X.51
|
北京市
|
中国电信
|
|
202.X.X.240
|
新疆维吾尔自治区
|
中国电信
|
|
123.X.X.195
|
北京市
|
阿里云
|
|
119.X.X.93
|
北京市
|
中国电信
|
|
123.X.X.233
|
北京市
|
阿里云
|
|
123.X.X.30
|
北京市
|
阿里云
|
|
101.X.X.97
|
北京市
|
阿里云
|
|
123.X.X.237
|
北京市
|
阿里云
|
|
101.X.X.178
|
北京市
|
阿里云
|
|
112.X.X.84
|
北京市
|
阿里云
|
|
121.X.X.197
|
北京市
|
中国联通
|
|
116.X.X.10
|
云南省
|
中国电信
|
|
101.X.X.74
|
北京市
|
阿里云
|
|
123.X.X.118
|
北京市
|
阿里云
|
|
182.X.X.228
|
北京市
|
阿里云
|
|
223.X.X.13
|
四川省
|
中国移动
|
|
202.X.X.100
|
山西省
|
中国联通
|
|
123.X.X.128
|
北京市
|
阿里云
|
|
119.X.X.156
|
北京市
|
中国电信
|
|
182.X.X.75
|
北京市
|
阿里云
|
|
123.X.X.216
|
北京市
|
阿里云
|
|
101.X.X.68
|
北京市
|
阿里云
|
|
113.X.X.112
|
广东省
|
中国电信
|
|
182.X.X.145
|
北京市
|
阿里云
|
|
182.X.X.145
|
北京市
|
阿里云
|
|
101.X.X.71
|
北京市
|
阿里云
|
|
58.X.X.166
|
山东省
|
中国电信
|
|
123.X.X.197
|
北京市
|
阿里云
|
|
101.X.X.55
|
北京市
|
阿里云
|
|
123.X.X.76
|
北京市
|
阿里云
|
2.NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器的默认123端口发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年以来NTP反射攻击事件共涉及我国境内2,040,066台反射服务器,境外1,160,134台反射服务器。
2018年以来被利用发起NTP反射攻击的境内反射服务器数量按省份统计,山东省占比最大,占20.3%,其次是河南省、河北省和湖北省;按归属运营商统计,中国联通占比最大,占37.1%,中国移动占32.0%,中国电信占28.8%,如图6所示。
图6 2018年以来被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布
2018年以来被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占比最大,占51.9%,其次是澳大利亚、美国和巴西,如图7所示。
图7 2018年以来被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布
2018年以来被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表4所示,位于新疆维吾尔自治区的地址最多。
表4 2018年以来境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30
|
反射服务器地址
|
归属省份
|
归属运营商或云服务商
|
|
221.X.X.37
|
河南省
|
中国移动
|
|
119.X.X.37
|
四川省
|
中国联通
|
|
220.X.X.54
|
安徽省
|
中国联通
|
|
111.X.X.30
|
贵州省
|
中国联通
|
|
202.X.X.70
|
新疆维吾尔自治区
|
中国电信
|
|
60.X.X.118
|
新疆维吾尔自治区
|
中国联通
|
|
218.X.X.126
|
广西壮族自治区
|
中国电信
|
|
61.X.X.24
|
北京市
|
中国联通
|
|
125.X.X.194
|
吉林省
|
中国联通
|
|
119.X.X.198
|
吉林省
|
中国联通
|
|
203.X.X.100
|
湖南省
|
中国联通
|
|
60.X.X.126
|
新疆维吾尔自治区
|
中国联通
|
|
123.X.X.82
|
北京市
|
中国联通
|
|
123.X.X.134
|
河南省
|
中国电信
|
|
60.X.X.134
|
河北省
|
中国联通
|
|
117.X.X.61
|
天津市
|
中国联通
|
|
124.X.X.22
|
北京市
|
中国联通
|
|
202.X.X.14
|
吉林省
|
中国联通
|
|
124.X.X.166
|
北京市
|
中国联通
|
|
122.X.X.170
|
江苏省
|
中国联通
|
|
60.X.X.158
|
新疆维吾尔自治区
|
中国联通
|
|
119.X.X.3
|
四川省
|
中国联通
|
|
61.X.X.174
|
山东省
|
中国联通
|
|
60.X.X.102
|
山东省
|
中国联通
|
|
183.X.X.166
|
浙江省
|
中国电信
|
|
61.X.X.59
|
河南省
|
中国联通
|
|
60.X.X.12
|
新疆维吾尔自治区
|
中国联通
|
|
124.X.X.90
|
北京市
|
中国联通
|
|
221.X.X.174
|
新疆维吾尔自治区
|
中国联通
|
|
221.X.X.10
|
黑龙江省
|
中国联通
|
|
123.X.X.76
|
北京市
|
阿里云
|
3.SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器的默认1900端口发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年以来SSDP反射攻击事件共涉及境内14,322,657台反射服务器,境外1,952,991台反射服务器。
2018年以来被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占比最大,占14.8%,其次是山东省、浙江省和江苏省;按归属运营商统计,中国联通占比最大,占57.8%,中国电信占39.5%,中国移动占2.3%,如图8所示。
图8 2018年以来被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布
2018年以来被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占比最大,占19.7%,其次是中国台湾、美国和意大利,如图9所示。
图9 2018年以来被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区分布
2018年以来被利用发起SSDP反射攻击的境内反射服务器按攻击事件数量排名TOP30的反射服务器及归属如表5所示,位于云南省的地址最多。
表5 2018年以来境内被利用发起SSDP反射攻击的反射服务器按涉事数量TOP30
|
反射服务器地址
|
归属省份
|
归属运营商
|
|
116.X.X.15
|
云南省
|
中国电信
|
|
123.X.X.202
|
内蒙古自治区
|
中国电信
|
|
120.X.X.234
|
新疆维吾尔自治区
|
中国电信
|
|
111.X.X.5
|
湖北省
|
中国移动
|
|
112.X.X.50
|
云南省
|
中国电信
|
|
113.X.X.14
|
广西壮族自治区
|
中国电信
|
|
101.X.X.206
|
上海市
|
中国电信
|
|
111.X.X.69
|
宁夏回族自治区
|
中国移动
|
|
218.X.X.90
|
宁夏回族自治区
|
中国电信
|
|
116.X.X.98
|
上海市
|
中国电信
|
|
111.X.X.182
|
湖南省
|
中国移动
|
|
118.X.X.118
|
甘肃省
|
中国电信
|
|
124.X.X.54
|
上海市
|
中国电信
|
|
116.X.X.163
|
广西壮族自治区
|
中国电信
|
|
117.X.X.196
|
新疆维吾尔自治区
|
中国移动
|
|
116.X.X.191
|
云南省
|
中国电信
|
|
120.X.X.102
|
新疆维吾尔自治区
|
中国电信
|
|
120.X.X.138
|
新疆维吾尔自治区
|
中国电信
|
|
117.X.X.46
|
上海市
|
中国联通
|
|
1.X.X.10
|
内蒙古自治区
|
中国电信
|
|
119.X.X.138
|
广东省
|
中国电信
|
|
116.X.X.10
|
云南省
|
中国电信
|
|
182.X.X.97
|
云南省
|
中国电信
|
|
218.X.X.163
|
湖南省
|
中国电信
|
|
117.X.X.182
|
新疆维吾尔自治区
|
中国移动
|
|
125.X.X.192
|
广西壮族自治区
|
中国电信
|
|
222.X.X.209
|
云南省
|
中国电信
|
|
111.X.X.6
|
黑龙江省
|
中国移动
|
|
101.X.X.34
|
上海市
|
中国电信
|
|
113.X.X.94
|
陕西省
|
中国电信
|
(四)发起伪造流量的路由器分析
1.
跨域伪造流量来源路由器
根据CNCERT抽样监测数据,2018年以来通过跨域伪造流量发起攻击的流量来源于426个路由器。根据参与攻击事件的数量统计,归属于新疆维吾尔自治区移动的路由器(221.X.X.9、221.X.X.5)参与的攻击事件数量最多,其次是归属于北京市电信(219.X.X.70)的路由器,如表6所示。
表6 2018年以来参与攻击最多的跨域伪造流量来源路由器TOP25
|
跨域伪造流量来源路由器
|
归属省份
|
归属运营商
|
|
221.X.X.9
|
新疆维吾尔自治区
|
中国移动
|
|
221.X.X.5
|
新疆维吾尔自治区
|
中国移动
|
|
219.X.X.70
|
北京市
|
中国电信
|
|
113.X.X.253
|
湖北省
|
中国联通
|
|
113.X.X.252
|
湖北省
|
中国联通
|
|
221.X.X.6
|
新疆维吾尔自治区
|
中国移动
|
|
61.X.X.25
|
浙江省
|
中国电信
|
|
218.X.X.101
|
内蒙古自治区
|
中国联通
|
|
120.X.X.9
|
广东省
|
中国联通
|
|
120.X.X.8
|
广东省
|
中国联通
|
|
222.X.X.200
|
山东省
|
中国电信
|
|
150.X.X.2
|
山东省
|
中国电信
|
|
222.X.X.1
|
广西省
|
中国电信
|
|
211.X.X.19
|
贵州省
|
中国移动
|
|
150.X.X.1
|
山东省
|
中国电信
|
|
222.X.X.2
|
广西省
|
中国电信
|
|
221.X.X.253
|
广东省
|
中国联通
|
|
221.X.X.254
|
广东省
|
中国联通
|
|
222.X.X.201
|
山东省
|
中国电信
|
|
220.X.X.253
|
北京市
|
中国电信
|
|
218.X.X.177
|
贵州省
|
中国移动
|
|
218.X.X.176
|
贵州省
|
中国移动
|
|
220.X.X.243
|
北京市
|
中国电信
|
|
211.X.X.20
|
贵州省
|
中国移动
|
|
202.X.X.137
|
浙江省
|
中国电信
|
2018年以来跨域伪造流量涉及路由器按省份分布统计,北京市占比最大,占16.2%,其次是江苏省和广东省;按路由器所属运营商统计,中国联通占比最大,占34.4%,中国移动占28.8%,中国电信占22.8%,如图10所示。
图10 2018年以来跨域伪造流量来源路由器数量按省份和运营商分布
2
.
本地伪造流量来源路由器
根据CNCERT抽样监测数据,2018年以来通过本地伪造流量发起攻击的流量来源于1019个路由器。根据参与攻击事件的数量统计,归属于北京市电信的路由器(220.X.X.243、220.X.X.253)参与的攻击事件数量最多,其次是归属于浙江省电信的路由器(220.X.X.127、220.X.X.126),如表7所示。
表7 2018年以来参与攻击最多的本地伪造流量来源路由器TOP25
|
本地伪造流量来源路由器
|
归属省份
|
归属运营商
|
|
220.X.X.243
|
北京市
|
中国电信
|
|
220.X.X.253
|
北京市
|
中国电信
|
|
220.X.X.127
|
浙江省
|
中国电信
|
|
220.X.X.126
|
浙江省
|
中国电信
|
|
219.X.X.2
|
山西省
|
中国电信
|
|
61.X.X.4
|
浙江省
|
中国电信
|
|
118.X.X.169
|
四川省
|
中国电信
|
|
219.X.X.10
|
山西省
|
中国电信
|
|
211.X.X.19
|
贵州省
|
中国移动
|
|
61.X.X.8
|
浙江省
|
中国电信
|
|
211.X.X.254
|
河南省
|
中国移动
|
|
211.X.X.253
|
河南省
|
中国移动
|
|
221.X.X.1
|
河南省
|
中国移动
|
|
221.X.X.2
|
河南省
|
中国移动
|
|
222.X.X.16
|
新疆维吾尔自治区
|
中国电信
|
|
222.X.X.15
|
新疆维吾尔自治区
|
中国电信
|
|
211.X.X.20
|
贵州省
|
中国移动
|
|
222.X.X.2
|
吉林省
|
中国联通
|
|
150.X.X.1
|
山东省
|
中国电信
|
|
150.X.X.2
|
山东省
|
中国电信
|
|
118.X.X.168
|
四川省
|
中国电信
|
|
218.X.X.177
|
贵州省
|
中国移动
|
|
218.X.X.176
|
贵州省
|
中国移动
|
|
222.X.X.4
|
吉林省
|
中国联通
|
|
218.X.X.130
|
四川省
|
中国电信
|
2018年以来本地伪造流量涉及路由器按省份分布,江苏省占比最大,占10.4%,其次是山东省、河南省和北京市;按路由器所属运营商统计,中国电信占比最大,占37.9%,中国移动占32.5%,中国联通占20.6%,如图11所示。
图11 2018年以来本地伪造流量来源路由器数量按省份和运营商分布
三、我国境内攻击资源年度活跃及治理情况分析
2018年以来,在主管部门指导下,CNCERT组织各省分中心,联合各地运营商、云服务商等对我国境内的DDoS网络攻击资源进行了专项治理,取得了较好的效果。
根据CNCERT自主监测数据,综合境内各类DDoS网络攻击资源的变化趋势,(1)控制端、肉鸡等资源的月活跃数量较2017年有了较明显的下降趋势;(2)控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源每月的新增率不变、消亡率相比2017年月度平均数值呈现一定程度的上升,意味着资源消亡速度加快,可利用的资源数量逐步减少;(3)反射服务器资源每月的消亡率不变、新增率相比2017年月度平均数值呈现一定程度的下降,意味着可新增的资源数量逐步减少。
根据外部分析报告,(1)国际安全厂商卡巴斯基“全球DDoS攻击每季度分析系列报告”
①
显示,位于我国境内的僵尸网络控制端数量在全球的占比呈现逐年下降趋势,控制端数量在全球的排名呈现上升趋势,说明位于我国境内的僵尸网络控制端数量持续减少;(2)中国电信云堤与安全企业绿盟共同发布的《2018年DDoS攻击态势报告》
②
指出,得益于对反射攻击的有效治理,全年DDoS攻击次数较2017年下降28.4%,特别是反射攻击较去年减少了80%,活跃反射源下降了60%,特别是SSDP反射源有显著的减少。
具体情况如下:
(一)我国境内攻击资源年度活跃趋势
1.
控制端资源
2018年,利用肉鸡发起DDoS攻击的境内控制端平均每月数量为38.5个,较2017年平均每月数量相比下降46%。境内控制端资源每月的新增率为75%,消亡率为77%,与2017年平均每月70%的新增率和71%的消亡率相比,资源变化速度加快。其中,位于上海市的境内控制端(182.X.X.227)、位于浙江省的境内控制端(120.X.X.114)、位于北京市的境内控制端(117.X.X.204)、在近三个月甚至半年内持续活跃。
2
.
肉鸡资源
2018年以来,被利用发起DDoS攻击的境内肉鸡平均每月数量为130,292个,与2017年平均每月数量相比下降37%。境内肉鸡资源每月的新增率为78%,消亡率为76%,与2017年平均每月87%的新增率和88%的消亡率相比均有所下降
。
截止2018年12月仍被利用的境内肉鸡资源中,监测发现有2,658个肉鸡本年度持续活跃超过六个月,这些肉鸡资源根据涉及事件数量排序TOP20如表8所示
。
表8 2018年持续活跃超过六个月的境内肉鸡根据发起DDoS攻击事件数量TOP20
|
肉鸡地址
|
归属省份
|
归属运营商或云服务商
|
|
222.X.X.63
|
贵州省
|
中国电信
|
|
122.X.X.166
|
浙江省
|
中国电信
|
|
122.X.X.199
|
河南省
|
中国联通
|
|
60.X.X.211
|
山西省
|
中国联通
|
|
121.X.X.3
|
浙江省
|
阿里云
|
|
121.X.X.2
|
浙江省
|
阿里云
|
|
121.X.X.1
|
浙江省
|
阿里云
|
|
202.X.X.138
|
新疆维吾尔自治区
|
中国电信
|
|
220.X.X.58
|
广西壮族自治区
|
中国电信
|
|
183.X.X.101
|
江苏省
|
中国移动
|
|
42.X.X.7
|
北京市
|
中国电信
|
|
58.X.X.243
|
江苏省
|
中国联通
|
|
183.X.X.79
|
浙江省
|
中国电信
|
|
117.X.X.248
|
江西省
|
中国电信
|
|
218.X.X.249
|
广西壮族自治区
|
中国电信
|
|
202.X.X.202
|
北京市
|
中国联通
|
|
119.X.X.27
|
广东省
|
中国电信
|
|
183.X.X.182
|
浙江省
|
中国移动
|
|
121.X.X.89
|
浙江省
|
阿里云
|
|
112.X.X.234
|
江苏省
|
中国联通
|
上述持续活跃超过六个月的境内肉鸡资源按省份统计,广东省占的比例最大,占14.6%,其次是浙江省、山东省和江苏省;按运营商统计,中国电信占的比例最大,占57.2%,中国联通占24.9%,中国移动占14.3%,如图12所示。
图12 2018年持续活跃超过6个月的肉鸡数量按省份和运营商分布
3.
反射服务器资源
2018年,利用境内服务器、主机等设施发起DDoS反射攻击的反射服务器平均数量为2,258,099个。境内反射服务器资源每月的新增率为65%,消亡率为71%,与2017年平均每月的85%新增率和的71%消亡率相比,新增率呈现减缓趋势
。
截止2018年12月仍被利用的境内Memcached反射服务器中,监测发现有1,348个在本年度持续活跃超过六个月,这些Memcached反射服务器根据涉及事件数量排序TOP20如表9所示
。
表9 2018年被利用发起攻击超过六个月的境内Memcached反射服务器根据攻击事件数量TOP20
|
反射服务器地址
|
归属省份
|
归属运营商或云服务商
|
|
115.X.X.100
|
山东省
|
阿里云
|
|
123.X.X.128
|
北京市
|
阿里云
|
|
121.X.X.127
|
浙江省
|
阿里云
|
|
223.X.X.13
|
四川省
|
中国移动
|
|
123.X.X.237
|
北京市
|
阿里云
|
|
182.X.X.143
|
北京市
|
阿里云
|
|
115.X.X.4
|
山东省
|
阿里云
|
|
106.X.X.51
|
北京市
|
中国电信
|
|
117.X.X.92
|
陕西省
|
中国电信
|
|
101.X.X.178
|
北京市
|
阿里云
|
|
120.X.X.127
|
广东省
|
阿里云
|
|
139.X.X.137
|
上海市
|
阿里云
|
|
60.X.X.105
|
天津市
|
中国联通
|
|
119.X.X.156
|
北京市
|
中国电信
|
|
182.X.X.145
|
北京市
|
阿里云
|
|
101.X.X.253
|
北京市
|
阿里云
|
|
115.X.X.53
|
浙江省
|
阿里云
|
|
115.X.X.236
|
山东省
|
阿里云
|
|
121.X.X.156
|
浙江省
|
中国电信
|
|
211.X.X.112
|
湖南省
|
中国移动
|
上述持续活跃超过六个月的境内Memcached反射服务器按省份统计,山东省占的比例最大,占10.6%,其次是辽宁省、广东省、浙江省和河南省;按运营商或云服务统计,中国联通占的比例最大,占45.6%,中国电信占33.0%,中国移动占12.0%,阿里云占6.2%,如图13所示。
图13 2018年活跃超过6个月的Memcached反射服务器数量按省份运营商或云服务商分布
截止2018年12月仍被利用的境内NTP反射服务器中,监测发现有89,303个在本年度持续活跃超过六个月,这些NTP反射服务器根据涉及事件数量排序TOP20如表10所示。
表10 2018年被利用发起攻击超过六个月的境内NTP反射服务器根据攻击事件数量TOP20
|
反射服务器地址
|
归属省份
|
归属运营商或云服务商
|
|
124.X.X.22
|
北京市
|
中国联通
|
|
223.X.X.33
|
四川省
|
中国移动
|
|
59.X.X.62
|
海南省
|
中国电信
|
|
120.X.X.12
|
河北省
|
中国联通
|
|
111.X.X.105
|
河北省
|
中国移动
|
|
101.X.X.56
|
浙江省
|
中国联通
|
|
125.X.X.2
|
浙江省
|
中国电信
|
|
61.X.X.130
|
湖北省
|
中国联通
|
|
221.X.X.37
|
河南省
|
中国移动
|
|
60.X.X.196
|
河北省
|
中国联通
|
|
111.X.X.130
|
西藏自治区
|
中国移动
|
|
61.X.X.38
|
北京市
|
中国联通
|
|
221.X.X.40
|
广西壮族自治区
|
中国联通
|
|
183.X.X.179
|
河北省
|
中国移动
|
|
113.X.X.28
|
湖北省
|
中国联通
|
|
125.X.X.157
|
河南省
|
中国联通
|
|
218.X.X.131
|
安徽省
|
中国电信
|
|
175.X.X.38
|
吉林省
|
中国联通
|
|
220.X.X.13
|
湖南省
|
中国电信
|
|
221.X.X.28
|
浙江省
|
中国联通
|
上述持续活跃超过六个月的境内NTP反射服务器按省份统计,河北省占的比例最大,占15.3%,其次山东省、辽宁省、河南省和湖北省;按运营商或云服务统计,中国联通占的比例最大,占50.8%,中国电信占31.5%,中国移动占16.9%,如图14所示。
图14 2018年以来持续活跃超过6个月的NTP反射服务器数量按省份运营商或云服务商分布
截止2018年12月仍被利用的境内SSDP反射服务器中,监测发现有84,867个在本年度持续活跃超过六个月,这些SSDP反射服务器根据涉及事件数量排序TOP20如表11所示。
