2018年我国DDoS攻击资源分析报告.pdf

2018 年 我国 DDoS 攻击资源分析报告 国家计算机网络应急技术处理协调中心 2019 年 3 月 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 2/ 35 目 录 一、引言 . 3 （一）攻击资源定义 . 3 （二） 2018年重点关注情况 . 4 二、全年 DDoS 攻击资源分析 . 6 （一）控制端资源分析 . 6 （二）肉鸡资源分析 . 8 （三）反射攻击资源分析 . 9 （四）发起伪造流量的路由器分析 . 17 1.跨域伪造流量来源路由器 . 17 2.本地伪造流量来源路由器 . 18 三、我国境内攻击资源年度活跃及治理情况分析 . 20 （ 一 ）我国境内攻击资源年度活跃趋 势 . 21 1、控制端资源 . 21 2、肉鸡资源 . 21 3、反射服务器资源 . 23 4、跨域伪造流量来源路由器资源 . 27 5、本地伪造流量来源路由器资 源 . 28 （二） DDoS攻击资源治理情况及典型案例 . 30 1、控制端资源 . 30 2、反射服务器资源 . 31 3、伪造流量来源路由器资源 . 32 四、下一步 DDoS 攻击资源治理建议 . 33 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 3/ 35 一、 引言 （一） 攻击资源定义 本报告为 2018 年的 DDoS 攻击资源 年 度分析报告 。 围绕互联网环境威胁治理问题 ， 基于 CNCERT 监测的 DDoS 攻击事件 数据进行抽样分析 ， 重点 对“ DDoS 攻击是从哪些网络资源上发起的 ”这个问题进行分析 。 主要 分析的攻击资源包括： 1、 控制端资源 ，指 用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源 ，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源 ，指 能够被 黑客 利用发起反射攻击的服务器 、主机 等设施 ，它们 提供的网络服务 中，如果存在某些网络服务，不需要进行认证并且 具有放大效果 ，又在互联网上大量部署 （如 DNS 服务器， NTP 服务器等） ，它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP 攻击流量的路由器。 由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配臵可能存在缺陷 ， 且该路由器下的网络中存在发动 DDoS 攻击的设备。 5、 本地伪造流量来源路由器，是指转发了大量伪造本区域 IP 攻击流量的路由器。 说明该路由器下的网络中存在发动CNCERT 2018 年 我国 DDoS 攻击资源分析报告 4/ 35 DDoS 攻击的设备。 在本报告中， 一次 DDoS 攻击事件是指 在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击 ， 攻击 周期 时长 不超过 24 小时。如果相同的 攻击目标 被相同的 攻击资源所攻击， 但 间隔为 24 小时或更多，则该事件被认为是两次攻击。此外， DDoS 攻击 资源及攻击目标地址均指其 IP 地址，它们 的地理位臵由它的 IP 地址 定位得到 。 （二） 2018年重点关注情况 1、 2018 年利用肉鸡发起 DDoS 攻击的控制端中，境外控制端最多位于美国；境内控制端最多位于江苏省，其次是浙江省、贵州省和广东省，按归属运营商统计， 中国 电信占的比例最大 。 2、 2018 年 参与攻击较多的 境内 肉鸡地址主要位于江苏省 、浙江省 和山东省 ，其中大量肉鸡地址归属于 中国 电信。 当前仍旧存活且 持续活跃 超过六个月 的 境内 肉鸡资源中，位于 广东 省 、浙江 省、山东省 的地址 占的比例最 大 。 3、 2018 年 被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的是 广东省 、 山东 省 和 河南省 ；按归属运营商统计，数量最多的是中国电信 。被 利用发起 NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是 山东 省、 河南省 和 河北省 ； 按归属运营商统计，数量最多的是中国 联通 。被 利用发起 SSDP 反射攻击的境内反射服务器CNCERT 2018 年 我国 DDoS 攻击资源分析报告 5/ 35 数量按省份统计排名前三名的省份是 辽宁 省 、 山东省 和 浙江省 ；按归属运营商统计，数量最多的是中国 联通 。 4、 2018 年 转发伪造跨域攻击流量的路由器中，归属于 新疆维吾尔自治区移动 的路由器参与的攻击事件数量最多 ；跨域伪造流量来源路由器数量按省份统计，最多位于北京市、江苏省和广东省。 持续 被利用超过三个月 的跨域伪造流量来源路由器中，归属于 江苏省 、 北京市和山东省 路由器数量最多。 5、 2018 年 转发伪造本地攻击流量的路由器中 ，归属于北京市电信的路由器参与的攻击事件 数量最多 ； 本地伪造流量来源路由器数量按省份统计，最多位于江苏省、山东省和河南省。持续被利用超过三个月的本地伪造流量来源路由器中，归属于浙江省、广东省、河南省的路由器数量最多。 6、 经 过一 年来针对我国境内的攻击资源的专项治理工作，根据 CNCERT 自主监测数据 ， 与 2017 年相比， 境内 控制端、肉鸡等资源的月活跃数量较 2017 年有了较明显的下降趋势；境内 控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源每月的新增率不变、消亡率呈现一定程度的上升，意味着资源消亡速度加快，可利用的资源数量逐步减少； 境内反射服务器资源每月的消亡率不变、新增率呈现一定程度的下降，意味着可新增的资源数量逐步减 少。 根据外部 相关 分析报告 ， 我国境内 的 僵尸网络控制端 数量 持续减少 ；我国境内全年DDoS 攻击次数明显下降，特别是反射攻击较去年减少了 80%。 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 6/ 35 二、 全年 DDoS 攻击资源分析 （一） 控制端资源 分析 根据 CNCERT 抽样监测数据， 2018 年以来利用肉鸡发起DDoS 攻击的控制端有 2108 个，其中， 334 个控制端位于我国境内， 1774 个控制端位于境外。 位于境外的控制端按国家或地区分布，美国占比最大，占36.3%，其次是中国香港和加拿大，如图 1 所示。 图 1 2018 年以来 发起 DDoS 攻击的境外控制端数量按国家或地区 分布 位于境内的控制端按省份统计，江苏省占比最大，占27.5%，其次是浙江省、贵州省和广东省；按运营商统计， 中国电信 占比最大，占 76.9%， 中国联通 占 9.9%， 中国移动 占0.9%，如图 2 所示。 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 7/ 35 图 2 2018 年以来 发起 DDoS 攻击的 境内控制端数量按省份和运营商分布 2018 年以来 发起攻击最多的境内控制端前二十名及归属如表 1 所示 。 表 1 2018 年以来 发起攻击最多的境内控制端 TOP20 控制端地址 归属省份 归属运营商 或云服务商 123.X.X.167 山东省 中国联通 183.X.X.78 浙江省 中国 电信 222.X.X.122 江苏省 中国电信 118.X.X.216 江西省 中国联通 123.X.X.146 贵州省 中国电信 27.X.X.234 福建省 中国电信 116.X.X.2 广东省 中国电信 222.X.X.232 江苏省 中国电信 219.X.X.226 河南省 中国电信 117.X.X.110 陕西省 中国电信 123.X.X.147 贵州省 中国电信 183.X.X.243 浙江省 中国电信 183.X.X.90 浙江省 中国电信 125.X.X.100 福建省 中国电信 183.X.X.57 广东省 中国电信 58.X.X.158 江苏省 中国电信 61.X.X.154 江苏省 中国电信 119.X.X.162 广东省 中国电信 222.X.X.7 江苏省 中国电信 220.X.X.54 湖南省 中国电信 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 8/ 35 （二） 肉鸡 资源 分析 根据 CNCERT 抽样监测数据， 2018 年 以来 共有 1,444,633个肉鸡地址参与真实地址攻击（包含真实地址攻击与 反射攻击等 其它攻击的混合攻击）。 这些肉鸡资源按省份统计， 江苏 省 占比最大，为 14.6%，其次是 浙江省、 山东省 和 广东省 ；按运营商统计， 中国电信 占比最大，为 61.6%， 中国联通 占 27.3%， 中国移动 占 9.4%，如图 3 所示。 图 3 2018 年以来 肉鸡地址数量按省份和运营商分布 2018 年以来 参与攻击最多的肉鸡地址前 三 十名及归属如表 2 所示。 表 2 2018 年以来 参 与攻击最多的肉鸡地址 TOP30 肉鸡地址 归属省份 归属运营商 或云服务商 60.X.X.174 新疆维吾尔自治区 中国联通 61.X.X.28 甘肃省 中国电信 61.X.X.66 青海省 中国电信 220.X.X.58 广西壮族自治区 中国电信 118.X.X.186 甘肃省 中国电信 221.X.X.129 内蒙古自治区 中国联通 61.X.X.114 河南省 中国联通 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 9/ 35 61.X.X.243 内蒙古自治区 中国联通 222.X.X.186 广西壮族自治区 中国电信 111.X.X.53 吉林省 中国移动 139.X.X.208 北京市 待确认 202.X.X.202 北京市 中国联通 221.X.X.144 贵州省 中国联通 202.X.X.138 新疆维吾尔自治区 中国电信 42.X.X.155 上海市 中国电信 175.X.X.131 湖南省 中国电信 222.X.X.242 贵州省 中国电信 60.X.X.211 山西省 中国联通 58.X.X.114 湖南省 中国联通 183.X.X.79 浙江省 中国电信 112.X.X.146 安徽省 中国联通 211.X.X.78 上海市 中国联通 27.X.X.250 上海市 中国联通 112.X.X.234 江苏省 中国联通 219.X.X.97 黑龙江省 中国电信 114.X.X.253 北京市 待确认 60.X.X.30 安徽省 中国电信 42.X.X.56 上海市 中国电信 218.X.X.182 河南省 中国联通 111.X.X.69 河南省 中国移动 （三） 反射 攻击资源分析 根据 CNCERT 抽样监测数据， 2018 年 以来 利用反射服务器发起的三类重点反射攻击共涉及 19,708,130 台反射服务器，其中境内反射服务器 16,549,970 台，境外反射服务器 3,158,160台。 被 利用 发起 Memcached 反射攻击的反射服务器有 232,282台，占比 1.2%，其中境内 187,247 台 ， 境外 45,035 台 ； 被 利用 发起 NTP 反射攻击的反射服务器有 3,200,200 台 ，占比 16.2%，其中境内 2,040,066 台 ， 境外 1,160,134 台 ； 被 利用发起 SSDP反射攻击的反射服务器有 16,275,648 台 ，占比 82.6%， 其中境内 14,322,657 台 ， 境外 1,952,991 台 。 CNCERT 2018 年 我国 DDoS 攻击资源分析报告 10/ 35 （ 1） Memcached 反射服务器资源 Memcached 反射攻击利用了在互联网上暴露的大批量Memcached 服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向 Memcached 服务器的默认 11211 端口发送伪造受害者 IP 地址的特定指令 UDP 数据包，使Memcached 服务器向受害者 IP 地址返回比请求数据包大数倍的数据，从而进行反射攻击。 根据 CNCERT 抽样监测数据， 2018 年 以来 利用 Memcached服务器实施反射攻击的事件共涉及境内 187,247台反射服务器，境外 45,035 台反射服务器 。 2018 年以来 境内反射服务器数量按省份统计， 广东 省 占比最大，占 14.1%，其次是 山东省、 河南 省 和 江苏 省 ；按归属运营商或云服务商统计， 中国电信 占比最大，占 53.5%， 中国移动 占 23.8%， 中国联通 占 13.4%， 阿里云占 4.5%， 如图 4 所示。 图 4 2018 年以来 境内 Memcached 反射服务器数量按省份、运营商或云服务商分布