2019年4月我国DDoS攻击资源月度分析报告.pdf

我国 DDoS 攻击资源月度分析报告 (2019 年 4 月 ) 国家计算机网络应急技术处理协调中心 2019 年 4 月 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 2/ 24 目 录 一、引言 . 3 （一）攻击资源定义 . 3 （二）本月重点关注情况 . 4 二、 DDoS 攻击资源分析 . 5 （一）控制端资源分析 . 5 （二）肉鸡资源分析 . 8 （三）反射攻击资源分析 . 10 （四）发起伪造流量的路由器分析 . 20 1.跨域伪造流量来源路由器 . 20 2.本地伪造流量来源路由器 . 22 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 3/ 24 一、引言 （一）攻击资源定义 本报告为 2019 年 4 月份的 DDoS 攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于 CNCERT 监测的 DDoS 攻击事件数据进行抽样分析，重点对“ DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、 控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如 DNS 服务器， NTP 服务器等），它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源 地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动 DDoS 攻击的设备。 5、 本地伪造流量来源路由器，是指转发了大量伪造本区CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 4/ 24 域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。此外， DDoS 攻击资源及攻击目标 地址均指其 IP 地址，它们的地理位置由它的 IP 地址定位得到。 （二）本月重点关注情况 1、本月利用肉鸡发起 DDoS 攻击的控制端中，境外控制端最多位于美国；境内控制端最多位于 江苏省和广东省 ，其次是 浙江 省 、 北京市 和河南省 ，按归属运营商统计，电信占的比例最大。 2、本月参与攻击较多的肉鸡地址主要位于 上海市 、 北京市、广西壮族自治区和黑龙江省 ，其中大量肉鸡地址归属于电信运营商。 2019 年 以来监测到的持续活跃的肉鸡资源中，位于 福建省 、 江苏省、浙江省和广东省 占的比例最 大 。 3、本月被利用发起 Memcached 反射攻击境内反 射服务器数量按省份统计排名前三名的省份是 广东省 、河南省、四川省；数量最多的归属运营商是 电信 。 被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省 、 河北 省和 湖北省 ；数量最多的归属运营商 是 联通 。被利CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 5/ 24 用发起 SSDP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是 山东省 、 河北省 和 河南省 ；数量最多的归属运营商是 联通 。 4、本月转发伪造跨域攻 击流量的路由器中，归属于北京市电信的路由器参与的攻击事件数量最多， 2019 年以来被持续利用的跨域伪造流量来源路由器中，归属于北京市、 江苏省和 天津市 路由器数量最多。 5、本月转发伪造本地攻击流量的路由器中，归属于浙江省电信的路由器参与的攻击事件数量最多， 2019 年以来被持续利用的本地伪造流量来源路由器中，归属于 浙江省 、 广东省北京市 和 安徽省 路由器数量最多。 二、 DDoS 攻击资源分析 （一）控制端资源分析 根据 CNCERT 抽样监测数据， 2019 年 4 月 ，利用肉鸡发起 DDoS 攻击的控制端有 338 个，其中， 43 个控制端位于我国境内， 295 个控制端位于境外。 位于境外的控制端按国家或地区分布，美国占的比例最大，占 54.6%，其次是中国香港和法国，如图 1 所示。 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 6/ 24 图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布 TOP15 位于境内的控制端按省份统计，江苏省和广东省占的比例最大，各占 20.9%，其次是浙江省、北京市和 河南省 ；按运营商统计，电信占的比例最大，占 67.4%，联通占 11.6%，如图2 所示。 图 2 本月发起 DDoS 攻击的 境内控制端数量按省份和运营商分布 本月发起攻击最多的境内控制端前二十名及归属如表 1所示，主要位于广东 省和浙江省 。 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 7/ 24 表 1 本月发起攻击最多的境内控制端 TOP20 控制端地址 归属省份 归属运营商或云服务商 183.X.X.186 广东省 电信 42.X.X.96 河南省 联通 115.X.X.186 浙江省 电信 111.X.X.247 江西省 电信 115.X.X.236 浙江省 电信 118.X.X.181 广东省 阿里云 117.X.X.126 浙江省 移动 115.X.X.131 浙江省 电信 61.X.X.150 江苏省 电信 180.X.X.5 江苏省 电信 222.X.X.23 江苏省 电信 139.X.X.127 上海市 阿里云 101.X.X.113 广东省 阿里云 120.X.X.114 浙江省 阿里云 118.X.X.156 广东省 电信 123.X.X.43 河南省 电信 203.X.X.155 广东省 电信 118.X.X.194 北京市 电信 61.X.X.77 江苏省 电信 27.X.X.74 福建省 电信 2019 年至今监测到的控制端中， 11.0%的控制端在本月仍处于活跃状态，共计 76 个，其中位于我国境内的控制端数量为 7 个，位于境外的控制端数量为 69 个。持续活跃的境内控制端及归属如表 2 所示。 表 2 2019 年以来持续活跃发起 DDOS 攻击的境内控制端 控制端 地址 归属省份 归属运营商 或云服务商 42.X.X.96 河南省 联通 118.X.X.194 北京市 电信 59.X.X.58 辽宁省 电信 120.X.X.114 浙江省 阿里云 118.X.X.156 广东省 电信 101.X.X.113 广东省 阿里云 182.X.X.227 上海市 腾讯云 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 8/ 24 （二）肉鸡资源分析 根据 CNCERT 抽样监测数据， 2019 年 4 月 ，共有 321,835个肉鸡地址参与真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）。 这些肉鸡资源按省份统计， 上海市 占的比例最大，为1.9%，其次是 北京市 、 广西壮族自治区 和 黑龙江 省；按运营商统计，电信占的比例最大，为 63.0%，联通占 22.0%，移动占 13.4%，如图 3 所示。 图 3 本月肉鸡地址数量按省份和运营商分布 本月参与攻击最多的肉鸡地址前二十名及归属如表 3 所示，位于 新疆维吾尔自治区和甘肃省 的地址最多。 表 3 本月参 与攻击最多的肉鸡地址 TOP20 肉鸡地址 归属省份 归属运营商 124.X.X.154 新疆维吾尔自治区 电信 61.X.X.197 湖南省 电信 223.X.X.106 青海省 电信 218.X.X.210 湖南省 电信 120.X.X.3 新疆维吾尔自治区 移动 117.X.X.46 新疆维吾尔自治区 移动 203.X.X.13 湖北省 联通 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 9/ 24 肉鸡地址 归属省份 归属运营商 203.X.X.14 湖北省 联通 61.X.X.247 甘肃省 电信 124.X.X.6 甘肃省 联通 222.X.X.138 内蒙古自治区 电信 118.X.X.80 青海省 电信 58.X.X.131 内蒙古自治区 联通 221.X.X.89 新疆维吾尔自治区 联通 117.X.X.138 江西省 移动 61.X.X.28 甘肃省 电信 110.X.X.44 内蒙古自治区 联通 111.X.X.179 黑龙江省 移动 61.X.X.156 甘肃省 电信 1.X.X.4 内蒙古自治区 联通 2019 年 至今 监测到的肉鸡资源中，共计 36,931 个肉鸡在本月仍处于活跃状态，其中位于我国境内的肉鸡数量为 24,363个，位于境外的肉鸡数量为 12,568 个。 2019 年 1 月 至今 被利用发起 DDoS 攻击最多的肉鸡 TOP20 及归属如表 4 所示。 表 4 2019 年以来 被利用发起 DDoS 攻击数量排名 TOP20,且在本月持续活跃的肉鸡地址 肉鸡地址 归属省份 归属运营商 36.X.X.125 内蒙古自治区 电信 218.X.X.249 广西壮族自治区 电信 113.X.X.167 湖北省 联通 14.X.X.41 广东省 电信 112.X.X.170 广东省 联通 58.X.X.131 广东省 联通 120.X.X.50 广东省 联通 113.X.X.16 陕西省 电信 112.X.X.51 广东省 联通 120.X.X.229 宁夏回族自治区 移动 183.X.X.50 湖北省 联通 14.X.X.241 广东省 电信 119.X.X.89 广东省 电信 122.X.X.110 吉林省 联通 111.X.X.53 吉林省 移动 183.X.X.60 广东省 电信 118.X.X.139 吉林省 联通 59.X.X.7 江西省 电信 CNCERT 我国 DDoS 攻击资源月度分析报告（ 2019 年 4 月） 10/ 24 肉鸡地址 归属省份 归属运营商 111.X.X.15 广西壮族自治区 移动 117.X.X.138 江西省 移动 2019 年至今持续活跃 的境内肉鸡资源按省份统计， 福建省占的比例最大，占 13.2%，其次是江苏省、 浙江 省和广东省；按运营商统计，电信占的比例最大，占 59.1%，联通占 17.9%，移动占 17.4%，如图 4 所示 。 图 4 2019 年以来持续 活跃的 肉鸡数量按省份和运营商分布 （三）反射攻击资源分析 根据 CNCERT 抽样监测数据， 2019 年 4 月 ，利用反射服务器发起的三类重点反射攻击共涉及 1,653,242 台反射服务器，其中境内反射服务器 1,047,559 台，境外反射服务器605,683 台。反射攻击所利用 Memcached 反射服务器发起反射攻击的反射服务器有 34,031 台，占比 2.1%，其中境内反射服务器 31,540 台 ， 境外反射服务器 2,491 台 ；利用 NTP 反射发