2017年我国DDoS攻击资源分析报告.pdf

国家计算机网络应急技术处理协调中心 2017 年 12 月 2017 年我国 DDoS 攻击资源分析报告 2017 年我国 DDoS 攻击资源分析报告 2 / 19 目录一、引言 . 3 二、 DDoS 攻击资源分析 . 4 （一）控制端资源分析. 4 （二）肉鸡资源分析. 7 （三）反射攻击资源分析. 10 1反射服务器资源 . 10 2反射攻击流量来源路由器 . 13 （四）发起伪造流量的路由器分析. 14 1. 跨域伪造流量来源路由器 . 14 2. 本地伪造流量来源路由器 . 17 2017 年我国 DDoS 攻击资源分析报告 3 / 19 一、引言近期，CNCERT 深度分析了我国大陆地区发生的数千起DDoS（分布式拒绝服务）攻击事件。本报告围绕互联网环境威胁治理问题，对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如 DNS 服务器，NTP 服务器等），它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP 地址，因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊，本报告将反射攻击流量来源路由器单独统计。 5、跨域伪造流量来源路由器，是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下2017 年我国 DDoS 攻击资源分析报告 4 / 19 路由器的源地址验证配置可能存在缺陷。且该路由器下的网络中存在发动 DDoS 攻击的设备。 6、本地伪造流量来源路由器，是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地理位置由它的 IP 地址定位得到。根据 CNCERT 监测数据，今年以来，利用肉鸡发起 DDoS攻击的控制端总量为 25,532 个。发起的攻击次数呈现幂律分布，如图 1 所示。平均每个控制端发起过 7.7 次攻击。（一）控制端资源分析二、 DDoS 攻击资源分析图 1 控制端利用肉鸡发起位于境外的控制端按国家或地区分布占 10.1%；其次是韩国和中国台湾图 2 发起 DDoS位于境内的控制端12.2%；其次是江苏2017 年我国 DDoS 攻击资源分析报告 5 / 19 控制端利用肉鸡发起 DDoS 攻击的事件次数呈幂律分布位于境外的控制端按国家或地区分布，美国占的比例最大韩国和中国台湾，如图 2 所示。攻击的境外控制端数量按国家或地区 TOP30控制端按省份统计，广东省占的比例最大江苏省、四川省和浙江省，如图 3 所示攻击的事件次数呈幂律分布占的比例最大，。占的比例最大，占所示。图 3 发起控制端发起攻击的天次总体呈现幂律分布平均每个控制端在制端在 119 天范围内发起图 4 控制端尝试发起制端在今年的 1.19在至少连续 7 个月次2017 年我国 DDoS 攻击资源分析报告 6 / 19 发起 DDoS 攻击的境内控制端数量按省份分布攻击的天次总体呈现幂律分布，如图在 1.51 天被尝试发起了 DDoS 攻击天范围内发起了攻击，占总监测天数的控制端尝试发起攻击天次呈现幂律分布控制端尝试发起攻击的月次情况如表 1 所示。个月发起了 DDoS 攻击，有 3 个控制端个月次持续发起攻击。如图 4 所示。攻击，最多的控占总监测天数的五分之二。平均每个控个控制端地址2017 年我国 DDoS 攻击资源分析报告 7 / 19 表 1 控制端发起攻击月次情况月次控制端数量 7 3 6 18 5 169 4 333 3 539 2 2013 1 22456 （二）肉鸡资源分析根据 CNCERT 监测数据，利用真实肉鸡地址直接攻击（包含直接攻击与其它攻击的混合攻击）的 DDoS 攻击事件占事件总量的 80%。其中，共有 751,341 个真实肉鸡地址参与攻击，涉及 193,723 个 IP 地址 C 段。肉鸡地址参与攻击的次数总体呈现幂律分布，如图 5 所示，平均每个肉鸡地址参与 2.13 次攻击。图 5 肉鸡地址参与攻击次数呈现幂律分布参与攻击最多的肉鸡地址为归属于山西省运城市闻喜县联通的某地址，共参与了陵市铜官区联通的某贵州省贵阳市云岩区联通这些肉鸡按境内其次是山西省、重庆市电信占的比例最大，如图7所示。 2017 年我国 DDoS 攻击资源分析报告 8 / 19 参与了690次攻击。其次是归属于某地址，共参与了482次攻击；贵州省贵阳市云岩区联通的某地址，共参与了479境内省份统计，北京占的比例最大重庆市和浙江省，如图6所示。按运营商统计，占49.3%，移动占23.4%，联通占图 6 肉鸡地址数量按省份分布图 7 肉鸡地址数量按运营商分布其次是归属于安徽省铜以及归属于次攻击。占的比例最大，占9%；按运营商统计，联通占21.8%，2017 年我国 DDoS 攻击资源分析报告 9 / 19 肉鸡资源参与攻击的天次总体呈现幂律分布，如图8所示。平均每个肉鸡资源在1.51天被利用发起了DDoS攻击，最多的肉鸡资源在145天范围内被利用发起攻击，占总监测天数的五分之三。图 8 肉鸡参与攻击天次呈现幂律分布肉鸡资源参与攻击的月次总体情况如表2所示。平均每个肉鸡资源在今年的1.11个月被利用发起了DDoS攻击，有271个肉鸡地址在连续8个月次被利用发起攻击，也就是说，这些肉鸡资源在监测月份中每个月都被利用以发起DDoS攻击，没有得到有效的清理处置。表 2 肉鸡参与攻击月次情况参与攻击月次肉鸡数量 8 271 7 295 6 759 5 1488 4 2916 3 9434 2 44530 1 691648 2017 年我国 DDoS 攻击资源分析报告 10 / 19 （三）反射攻击资源分析 1反射服务器资源根据 CNCERT 监测数据，利用反射服务器发起的反射攻击的 DDoS 攻击事件占事件总量的 25%，其中，共涉及 251,828台反射服务器，反射服务器被利用以攻击的次数呈现幂律分布，如图 9 所示，平均每台反射服务器参与 1.76 次攻击。图 9 反射服务器被利用攻击次数呈现幂律分布被利用最多发起反射放大攻击的服务器归属于新疆伊犁哈萨克自治州伊宁市移动，共参与了 148 次攻击。其次，是归属于新疆昌吉回族自治州阜康市移动的某地址，共参与了 123次攻击；以及归属于新疆阿勒泰地区阿勒泰市联通的某地址，共参与了 119 次攻击。反射服务器被利用发起攻击的天次总体呈现幂律分布，如图 10 所示。平均每个反射服务器在 1.38 天被利用发起了 DDoS攻击，最多的反射服务器在 65 天范围内被利用发起攻击，近占监测总天数的三分之一。