我国 DDoS 攻击资源 月度 分析报告 (2018 年 11 月 ) 国家计算机网络应急技术处理协调中心 2018 年 11 月 CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 2/ 23 目 录 一、引言 . 3 （一）攻击资源定义 . 3 （二）本月重点关注情况 . 4 二、 DDoS 攻击资源分析 . 5 （一）控制端资源分析 . 5 （二）肉鸡资源分析 . 7 （三）反射攻击资源分析 . 10 （四 ）发起伪造流量的路由器分析 . 20 1.跨域伪造流量来源路由器 . 20 2.本地伪造流量来源路由器 . 22 CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 3/ 23 一、 引言 （一） 攻击资源定义 本报告为 2018年 11月份的 DDoS攻击资源月度分析报告 。围绕互联网环境威胁治理问题 ， 基于 CNCERT 监测的 DDoS 攻击事件 数据进行抽样分析 ， 重点 对“ DDoS 攻击是从哪些网络资源上发起的 ”这个问题进行分析 。 主要 分析的攻击资源包括： 1、 控制端资源 ，指 用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源 ，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源 ，指 能够被 黑客 利用发起反射攻击的服务器 、主机 等设施 ，它们 提供的网络服务 中，如果存在某些网络服务，不需要进行认证并且 具有放大效果 ，又在互联网上大量部署 （如 DNS 服务器， NTP 服务器等） ，它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP 攻击流量的路由器。 由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷 ， 且该路由器下的网络中存在发动 DDoS 攻击的设备。 5、 本地伪造流量来源路由器，是指转发了大量伪造本区CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 4/ 23 域 IP 攻击流量的路由器。 说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中， 一次 DDoS 攻击事件是指 在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击 ， 攻击 周期 时长 不超过 24 小时。如果相同的 攻击目标 被相同的 攻击资源所攻击， 但 间隔为 24 小时或更多，则该事件被认为是两次攻击。此外， DDoS 攻击 资源及攻击目标地址均指其 IP 地址，它们 的地理位置由它的 IP 地址 定位得到 。 （二）本月重点 关注情况 1、 本月利用肉鸡发起 DDoS 攻击的控制端中，境外控制端 最多位于 美国 ； 境 内控制端 最 多位于 江苏省 ，其次是 贵州 省 、广东省和浙江省 ，按归属运营商统计，电信占的比例最大。 2、 本月 参与攻击 较 多的肉鸡地址 主要 位 于 江苏省 、 广东省、山东省和福建省 ， 其中大量肉鸡地址归属于电信运营商 。2018 年 以来监测到的 持续活跃的 肉鸡资源中， 位于 山东省 、福建省、江苏省 占的比例最 大 。 3、本月被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的省份是 河南省 、 山东 省 和 广东省 ；数量最多的归属运营商是电信 。被 利用发起 NTP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是 河南 省 、 河北 省和 山东省 ；数量最多的归属运营商 是 联通 。被 利用发起 SSDP 反射攻击的境内反射服务器数量按省份统计排名CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 5/ 23 前三名的省份是 辽宁 省 、 浙江省 和 吉林省 ；数量最多的归属运营商是 联通 。 4、 本月 转发伪造跨域攻击流量的路由器中，归属于 北京市 的路由器参与的攻击事件数量最多， 2018 年 以来 被持续利用的跨域伪造流量来源路由器中，归属于 北京市 、 江苏省和 上海市 路由器数量最多 。 5、 本月 转发伪造本地攻击流量的路由器中，归属于 吉林省联通 的路由器参与的攻击事件数量最多， 2018 年 以来 被持续利用的 本地 伪造流量来源路由器中，归属于 河南省 、 北京市、广东省和山东省 路由器数量最多 。 二、 DDoS 攻击资源分析 （一） 控制端资源 分析 根据 CNCERT 抽样监测数据， 2018 年 11 月 ，利用肉鸡发起 DDoS 攻击的控制端 有 239 个，其中， 37 个控制端位于 我国境内， 202 个控制端位于境外。 位于境外的控制端按国家或地区分布，美国占的比例最大，占 42.6%，其次是 法国 和 中国香港 ，如图 1 所示。 CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 6/ 23 图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区 分布 位于境内的控制端按省份统计， 江苏 省 占的比例最大，占35.1%，其次是 贵州 省、 广东 省 和 浙江 省 ；按运营商统计，电信占的比例最大，占 67.6%，联通占 13.5%， 移动 占 2.7%， 如图 2 所示。 图 2 本月发起 DDoS 攻击的 境内控制端数量按省份和运营商分布 本月 发起攻击最多的境内控制端前二十名及归属如表 1所示，位于 贵州 省的数量最多 。 表 1 本月发起攻击最多的境内控制端 TOP20 控制端地址 归属省份 归属运营商 或云服务商 27.X.X.234 福建省 电信 119.X.X.162 广东省 电信 222.X.X.16 江苏省 电信 43.X.X.43 天津市 联通 222.X.X.7 江苏省 电信 119.X.X.225 福建省 电信 123.X.X.162 贵州省 电信 183.X.X.57 广东省 电信 123.X.X.146 贵州省 电信 115.X.X.165 浙江省 电信 123.X.X.57 山东省 联通 123.X.X.164 贵州省 电信 120.X.X.114 浙江省 阿里云 CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 7/ 23 123.X.X.147 贵州省 电信 183.X.X.229 浙江省 电信 123.X.X.194 山东省 联通 222.X.X.11 江苏省 电信 120.X.X.156 浙江省 阿里云 218.X.X.118 辽宁省 联通 118.X.X.188 广东省 电信 2018 年 1 月至今 监测到的控制端中， 4.3%的控制端在本月仍处于活跃状态，共计 76 个，其中位于我国境内的控制端数量为 10 个， 位于 贵州 省的数量最多； 位于境外的控制端数量为 56 个。持续活跃的境内控制端 及 归属如表 2 所示。 表 2 2018 年以来 持续活跃 发起 DDOS 攻击 的 境内控制端 控制端 地址 归属省份 归属运营商 或云服务商 123.X.X.146 贵州省 电信 182.X.X.227 上海市 腾讯云 123.X.X.147 贵州省 电信 120.X.X.114 浙江省 阿里云 27.X.X.234 福建省 电信 123.X.X.211 贵州省 电信 123.X.X.169 贵州省 电信 123.X.X.164 贵州省 电信 123.X.X.162 贵州省 电信 183.X.X.229 浙江省 电信 （二） 肉鸡 资源 分析 根据 CNCERT 抽样监测数据， 2018 年 11 月 ，共有 317,219个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。 这些肉鸡资源按省份统计， 江苏 省 占的比例最大，为17.0%，其次是 广东 省 、 山 东 省 和 福建 省 ；按运营商统计，电信占的比例最大，为 77.2%，联通占 19.6%，移动占 2.0%，如CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 8/ 23 图 3 所示。 图 3 本月肉鸡地址数量按省份和运营商分布 本月参与攻击最多的肉鸡地址前二十名及归属如表 3 所示，位于 山东省 的地址最多。 表 3 本月参 与攻击最多的肉鸡地址 TOP20 肉鸡地址 归属省份 归属运营商 124.X.X.62 海南省 电信 123.X.X.39 山东省 电信 182.X.X.119 山东省 电信 112.X.X.91 黑龙江省 电信 27.X.X.85 山东省 联通 222.X.X.203 河南省 电信 58.X.X.3 内蒙古自治区 联通 27.X.X.192 山东省 联通 60.X.X.156 天津市 联通 182.X.X.77 山东省 电信 42.X.X.105 黑龙江省 电信 60.X.X.204 天津市 联通 61.X.X.3 河南省 联通 180.X.X.184 天津市 电信 123.X.X.241 山东省 联通 182.X.X.178 山东省 电信 60.X.X.101 天津市 联通 112.X.X.104 山东省 联通 175.X.X.182 吉林省 电信 218.X.X.205 山东省 联通 CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 9/ 23 2018 年 1 月 至今 监测到的肉鸡资源中，共计 58,847 个肉鸡在本月仍处于活跃状态 ，其中位于我国境内的肉鸡数量为54,715 个，位于境外的肉鸡数量为 4,132 个。 2018 年 1 月 至今 被利用发起 DDoS 攻击最多的肉鸡 TOP20 及 归属如表 4 所示。 表 4 2018 年以来 被利用发起 DDoS 攻击 数量排名 TOP20,且在本月 持续 活跃的肉鸡地址 肉鸡地址 归属省份 归属运营商 60.X.X.174 新疆维吾尔自治区 联通 61.X.X.28 甘肃省 电信 61.X.X.66 青海省 电信 61.X.X.243 内蒙古自治区 联通 221.X.X.129 内蒙古自治区 联通 222.X.X.242 贵州省 电信 222.X.X.186 广西壮族自治区 电信 220.X.X.58 广西壮族自治区 电信 42.X.X.155 上海市 电信 112.X.X.234 江苏省 联通 218.X.X.182 河南省 联通 183.X.X.79 浙江省 电信 221.X.X.144 贵州省 联通 211.X.X.78 上海市 联通 27.X.X.250 上海市 联通 61.X.X.9 河南省 联通 60.X.X.30 安徽省 电信 122.X.X.13 河南省 联通 61.X.X.20 山东省 联通 139.X.X.210 上海市 电信 2018 年 1 月至今 持续活跃的 境内肉鸡资源按省份统计，山东省 占的比例最大，占 20.6%，其次是 福建 省 、 江苏 省 和 广东 省 ；按运营商统计，电信占的比例最大，占 79.6%，联通占13.4%，移动占 2.8%，如图 4 所示 。 CNCERT 我国 DDoS 攻击资源 月度 分析报告 （ 2018 年 11 月） 10/ 23 图 4 2018 年以来持续 活跃的 肉鸡数量按省份和运营商分布 （三） 反射 攻击资源分析 根据 CNCERT 抽样监测数据， 2018 年 11 月 ，利用反射服务器发起的三类重点反射攻击共涉及 3,016,768 台反射服务器，其中境内反射服务器 1,843,949 台，境外反射服务器 1,172,819台。反射攻击所利用 Memcached 反射服务器发起反射攻击的反射服务器有 11,912台，占比 0.4%，其中境内反射服务器 8,354台 ， 境外反射服务器 3,558 台 ；利用 NTP 反射发起反射攻击的反射服务器有 1,032,106 台 ，占比 34.2%， 其中境内反射服务器 554,981 台 ， 境外反射服务器 477,125 台 ；利用 SSDP 反射发起反射攻击的反射服务器有 1,972,750 台 ，占比 65.4%， 其中境内反射服务器 1,280,614 台 ， 境外反射服务器 692,136 台 。