(2019 年 5 月 ) 国家计算机网络应急技术处理协调中心 2019 年 6 月 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 2/ 24 目 录 一、引言 . 3 （一）攻击资源定义 . 3 （二）本月重点关注情况 . 4 二、 DDoS 攻击资源分析 . 5 （一）控制端资源分析 . 5 （二）肉鸡资源分析 . 8 （三）反射攻击资源分析 . 10 （四）发起伪造流量的路由器分析 . 20 1.跨域伪造流量来源路由器 . 20 2.本地伪造流量来源路由器 . 22 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 3/ 24 一、引言 （一）攻击资源定义 本报告为 2019 年 5 月份的 DDoS 攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于 CNCERT 监测的 DDoS 攻击事件数据进行抽样分析，重点对“ DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、 控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如 DNS 服务器， NTP 服务器等），它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该 路由器下的网络中存在发动 DDoS 攻击的设备。 5、 本地伪造流量来源路由器，是指转发了大量伪造本区CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 4/ 24 域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。此外， DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地理位置由它的 IP 地址定位得到。 （二） 本月重点关注情况 1、本月利用肉鸡发起 DDoS 攻击的控制端中，境外控制端最多位于美国；境内控制端最多位于 江苏省 ，其次是 浙江 省 、河南省 和北京市 ，按归属运营商统计，电信占的比例最大。 2、本月参与攻击较多的肉鸡地址主要位于 广东省 、 江苏省、河南省和山东省 ，其中大量肉鸡地址归属于电信运营商。2019 年 以来监测到的持续活跃的肉鸡资源中，位于 江苏省 、福建省、浙江省和广东省 占的比例最 大 。 3、本月被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的省份是 河南省 、 广东省 、四川省；数量最多的归属运营商是 电信 。 被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是 河北省 、 山东省 和 湖北省 ；数量最多的归属运营商 是 联通 。被利用发起 SSDP 反射攻击的境内反射服务器数量按省份统计排名CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 5/ 24 前三名的省份是 辽宁省 、 浙江省 和 吉林省 ；数量最多的归属运营商是 联通 。 4、本月转发伪造跨域攻 击流量的路由器中，归属于 江苏省电信 的路由器参与的攻击事件数量最多， 2019 年以来被持续利用的跨域伪造流量来源路由器中，归属于北京市、 江苏省和 辽宁省 路由器数量最多。 5、本月转发伪造本地攻击流量的路由器中，归属于 湖南省联通 的路由器参与的攻击事件数量最多， 2019 年以来被持续利用的本地伪造流量来源路由器中，归属于 江苏省 、 广东省北京市 和 浙江省 路由器数量最多。 二、 DDoS 攻击资源分析 （一）控制端资源分析 根据 CNCERT 抽样监测数据， 2019 年 5 月 ，利用肉鸡发起DDoS 攻击的控制端有 257 个，其中， 37 个控制端位于我国境内， 220 个控制端位于境外。 位于境外的控制端按国家或地区分布，美国占的比例最大，占 45.9%，其次是 加拿大 和 中国香港 ，如图 1 所示。 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 6/ 24 图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布 TOP15 位于境内的控制端按省份统计，江苏省占的比例最大，各占 24.3%，其次是浙江省、 河南省 和 北京市 ；按运营商统计，电信占的比例最大，占 62.2%，联通占 16.2%， 移动 占 5.4%，如图 2 所示。 图 2 本月发起 DDoS 攻击的 境内控制端数量按省份和运营商分布 本月发起攻击最多的境内控制端前二十名及归属如表 1所示，主要位于 浙江省 。 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 7/ 24 表 1 本月发起攻击最多的境内控制端 TOP20 控制端地址 归属省份 归属运营商或云服务商 115.X.X.186 浙江省 电信 222.X.X.231 江苏省 电信 115.X.X.236 浙江省 电信 222.X.X.41 江苏省 电信 42.X.X.96 河南省 联通 122.X.X.190 河南省 联通 114.X.X.236 北京市 电信 111.X.X.110 河南省 移动 139.X.X.127 上海市 阿里云 122.X.X.109 浙江省 电信 222.X.X.16 江苏省 电信 118.X.X.82 上海市 腾讯云 101.X.X.202 北京市 电信 43.X.X.11 浙江省 待确认 117.X.X.165 北京市 联通 122.X.X.124 浙江省 电信 61.X.X.150 江苏省 电信 101.X.X.113 广东省 阿里云 123.X.X.43 河南省 电信 111.X.X.74 江西省 电信 2019 年至今监测到的控制端中， 8.9%的控制端在本月仍处于活跃状态，共计 75 个，其中位于我国境内的控制端数量为 11 个，位于境外的控制端数量为 64 个。持续活跃的境内控制端及归属如表 2 所示。 表 2 2019 年以来持续活跃发起 DDOS 攻击的境内控制端 控制端 地址 归属省份 归属运营商 或云服务商 42.X.X.96 河南省 联通 115.X.X.17 浙江省 电信 61.X.X.150 江苏省 电信 203.X.X.155 广东省 电信 115.X.X.236 浙江省 电信 101.X.X.113 广东省 阿里云 123.X.X.43 河南省 电信 182.X.X.227 上海市 腾讯云 115.X.X.186 浙江省 电信 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 8/ 24 控制端 地址 归属省份 归属运营商 或云服务商 139.X.X.127 上海市 阿里云 111.X.X.74 江西省 电信 （二）肉鸡资源分析 根据 CNCERT 抽样监测数据， 2019 年 5 月 ，共有 686,081个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。 这些肉鸡资源按省份统计， 广东省 占的比例最大，为16.8%，其次是 江苏省 、 河南省 和 山东 省；按运营商统计，电信占的比例最大，为 56.9%，联通占 21.8%，移动占 20.4%，如图 3 所示。 图 3 本月肉鸡地址数量按省份和运营商分布 本月参与攻击最多的肉鸡地址前二十名及归属如表 3 所示，位于 宁夏回族 自治区 的地址最多。 表 3 本月参 与攻击最多的肉鸡地址 TOP20 肉鸡地址 归属省份 归属运营商 14.X.X.116 广东省 电信 111.X.X.34 宁夏回族自治区 移动 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 9/ 24 肉鸡地址 归属省份 归属运营商 42.X.X.251 湖南省 联通 124.X.X.238 河北省 电信 124.X.X.237 河北省 电信 124.X.X.236 河北省 电信 14.X.X.114 广东省 电信 219.X.X.70 内蒙古自治区 电信 124.X.X.239 河北省 电信 14.X.X.117 广东省 电信 111.X.X.2 宁夏回族自治区 移动 210.X.X.115 北京市 联通 210.X.X.50 北京市 联通 120.X.X.52 宁夏回族自治区 移动 120.X.X.226 宁夏回族自治区 移动 210.X.X.229 北京市 联通 218.X.X.121 江苏省 电信 120.X.X.131 宁夏回族自治区 移动 14.X.X.112 广东省 电信 14.X.X.118 广东省 电信 2019 年 至今 监测到的肉鸡资源中，共计 36,022 个肉鸡在本月仍处于活跃状态，其中位于我国境内的肉鸡数量为 19,654个，位于境外的肉鸡数量为 16,368 个。 2019 年 1 月 至今 被利用发起 DDoS 攻击最多的肉鸡 TOP20 及归属如表 4 所示。 表 4 2019 年以来 被利用发起 DDoS 攻击数量排名 TOP20,且在本月持续活跃的肉鸡地址 肉鸡地址 归属省份 归属运营商 36.X.X.125 内蒙古自治区 电信 122.X.X.10 湖北省 联通 14.X.X.41 广东省 电信 112.X.X.170 广东省 联通 58.X.X.131 广东省 联通 218.X.X.249 广西壮族自治区 电信 120.X.X.50 广东省 联通 112.X.X.51 广东省 联通 14.X.X.241 广东省 电信 113.X.X.167 湖北省 联通 113.X.X.16 陕西省 电信 183.X.X.50 湖北省 联通 119.X.X.89 广东省 电信 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 5 月） 10/ 24 肉鸡地址 归属省份 归属运营商 120.X.X.229 宁夏回族自治区 移动 118.X.X.139 吉林省 联通 122.X.X.110 吉林省 联通 117.X.X.17 江西省 电信 111.X.X.53 吉林省 移动 111.X.X.15 广西壮族自治区 移动 219.X.X.34 辽宁省 电信 2019 年至今持续活跃 的境内肉鸡资源按省份统计， 江苏省 占的比例最大，占 23.1%，其次是 福建 省 、 浙江 省和广东省；按运营商统计，电信占的比例最大，占 57.5%， 移动 占 26.8%，联通 占 11.8%，如图 4 所示 。 图 42019 年以来持续 活跃的 肉鸡数量按省份和运营商分布 （三）反射攻击资源分析 根据 CNCERT 抽样监测数据， 2019 年 5 月 ，利用反射服务器发起的三类重点反射攻击共涉及 1,814,386 台反射服务器，其中境内反射服务器 1,345,333 台，境外反射服务器 469,053台。反射攻击所利用 Memcached 反射服务器发起反射攻击的