文章來源：國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT公眾號

 

本季度重點關(guān)注情況

 

1、本季度利用肉雞發(fā)起攻擊的活躍控制端中，境外控制端按國家和地區(qū)統(tǒng)計，最多位于美國、德國和荷蘭；境內(nèi)控制端按省份統(tǒng)計，最多位于吉林省、河南省和山東省，按歸屬運營商統(tǒng)計，聯(lián)通占比最大。

2、本季度參與攻擊的活躍境內(nèi)肉雞中，按省份統(tǒng)計最多位于江蘇省、安徽省和浙江?。话礆w屬運營商統(tǒng)計，電信占比最大。

3、本季度被利用參與Memcached反射攻擊的活躍境內(nèi)反射服務(wù)器中，按省份統(tǒng)計排名前三名的省份是廣東省、山東省、和湖南??；數(shù)量最多的歸屬運營商是電信。被利用參與NTP反射攻擊的活躍境內(nèi)反射服務(wù)器中，按省份統(tǒng)計排名前三名的省份是浙江省、河北省和湖北?。粩?shù)量最多的歸屬運營商是電信。被利用參與SSDP反射攻擊的活躍境內(nèi)反射服務(wù)器中，按省份統(tǒng)計排名前三名的省份是浙江省、廣東省和遼寧?。粩?shù)量最多的歸屬運營商是電信。

4、本季度轉(zhuǎn)發(fā)偽造跨域攻擊流量的路由器中，位于上海市、四川省和北京市的路由器數(shù)量最多。本季度轉(zhuǎn)發(fā)偽造本地攻擊流量的路由器中，位于江蘇省、福建省和廣東省的路由器數(shù)量最多。

攻擊資源定義

 

本報告為2021年第1季度的DDoS攻擊資源分析報告。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問題，基于CNCERT監(jiān)測的DDoS攻擊事件數(shù)據(jù)進行抽樣分析，重點對“DDoS攻擊是從哪些網(wǎng)絡(luò)資源上發(fā)起的”這個問題進行分析。主要分析的攻擊資源包括：

 

1、控制端資源，指用來控制大量的僵尸主機節(jié)點向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸網(wǎng)絡(luò)控制端。

2、肉雞資源，指被控制端利用，向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸主機節(jié)點。

3、反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機等設(shè)施，它們提供的某些網(wǎng)絡(luò)服務(wù)（如DNS服務(wù)器，NTP服務(wù)器等），不需要進行認證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署，從而成為被利用發(fā)起DDoS反射攻擊的網(wǎng)絡(luò)資源。

4、跨域偽造流量來源路由器，是指轉(zhuǎn)發(fā)了大量任意偽造IP攻擊流量的路由器。由于我國要求運營商在接入網(wǎng)上進行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷，且該路由器下的網(wǎng)絡(luò)中存在發(fā)動DDoS攻擊的設(shè)備。

5、本地偽造流量來源路由器，是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域IP攻擊流量的路由器。說明該路由器下的網(wǎng)絡(luò)中存在發(fā)動DDoS攻擊的設(shè)備。

 

在本報告中，一次DDoS攻擊事件是指在經(jīng)驗攻擊周期內(nèi)，不同的攻擊資源針對固定目標(biāo)的單個DDoS攻擊，攻擊周期時長不超過24小時。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊，但間隔為24小時或更多，則該事件被認為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

DDoS攻擊資源分析

 

1、控制端資源分析

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，利用肉雞發(fā)起DDoS攻擊的活躍控制端有793個，其中境外控制端占比97.9%、云平臺控制端占比68.5%，如圖1所示。

 

圖1 2021年第1季度發(fā)起DDoS攻擊的控制端數(shù)量境內(nèi)外分布和云平臺占比

 

位于境外的控制端按國家或地區(qū)統(tǒng)計，排名前三位的分別為美國（41.9%）、德國（12.0%）和荷蘭（9.3%），其中如圖2所示。

 

圖2 2021年第1季度發(fā)起DDoS攻擊的境外控制端數(shù)量按國家或地區(qū)分布

 

位于境內(nèi)的控制端按省份統(tǒng)計，排名前三位的分別為吉林?。?3.5%）、河南?。?1.8%）和山東省（11.8%）；按運營商統(tǒng)計，聯(lián)通占41.2%，電信占23.5%，如圖3所示。

 

圖3 2021年第1季度發(fā)起DDoS攻擊的境內(nèi)控制端數(shù)量按省份和運營商分布

 

發(fā)起攻擊最多的境內(nèi)控制端地址前二十名及歸屬如表1所示，位于吉林省的地址最多。

 

表1 2021年第1季度發(fā)起攻擊的境內(nèi)控制端TOP20

 

 

2、肉雞資源分析

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，參與真實地址攻擊（包含真實地址攻擊與反射攻擊等其他攻擊的混合攻擊）的肉雞621557個，其中境內(nèi)肉雞占比68.8%、云平臺肉雞占比8.7%，如圖4所示。

 

圖4 2021年第1季度參與DDoS攻擊的肉雞數(shù)量境內(nèi)外分布和云平臺占比

 

位于境外的肉雞按國家或地區(qū)統(tǒng)計，排名前三位的分別為美國（14.7%）、越南（14.4%）和巴西（7.2%），其中如圖5所示。

 

圖5 2021年第1季度參與DDoS攻擊的境外肉雞數(shù)量按國家或地區(qū)分布

 

位于境內(nèi)的肉雞按省份統(tǒng)計，排名前三位的分別為江蘇?。?1.8%）、安徽?。?.5%）和浙江?。?.6%）；按運營商統(tǒng)計，電信占62.5%，聯(lián)通占23.9%，移動占11.0%，如圖6所示。

圖6 2021年第1季度參與DDoS攻擊的境內(nèi)肉雞數(shù)量按省份和運營商分布

 

參與攻擊最多的境內(nèi)肉雞地址前二十名及歸屬如表2所示，位于北京市的地址最多。

表2 2021年第1季度參與攻擊最多的境內(nèi)肉雞地址TOP20

 

 

3、反射攻擊資源分析

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，參與反射攻擊的三類重點反射服務(wù)器3343283臺，其中境內(nèi)反射服務(wù)器占比83.6%，Memcached反射服務(wù)器占比2.6%，NTP反射服務(wù)器占比18.2%，SSDP反射服務(wù)器占比79.2%。

 

（1）Memcached反射服務(wù)器資源

 

Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器（一種分布式緩存系統(tǒng)）存在的認證和設(shè)計缺陷，攻擊者通過向Memcached服務(wù)器IP地址的默認端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包，使Memcached服務(wù)器向受害者IP地址返回比請求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進行反射攻擊。

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，參與反射攻擊的Memcached反射服務(wù)器88044個，其中境內(nèi)反射服務(wù)器占比90.3%、云平臺反射服務(wù)器占比8.8%，如圖7所示。

 

圖7 2021年第1季度Memcached反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺占比

 

位于境外的反射服務(wù)器按國家或地區(qū)統(tǒng)計，排名前三位的分別為美國（31.1%）、德國（7.7%）和中國香港（7.6%），其中如圖8所示。

 

圖8 2021年第1季度境外Memcached反射服務(wù)器數(shù)量按國家或地區(qū)分布

 

位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計，排名前三位的分別為廣東?。?3.1%）、山東省（6.0%）和湖南?。?.5%）；按運營商統(tǒng)計，電信占73.7%，移動占12.8%，聯(lián)通占11.2%，如圖9所示。

 

                                                                圖9 2021年第1季度境內(nèi)Memcached反射服務(wù)器數(shù)量按省份和運營商分布

 

被利用參與Memcached反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表3所示，位于北京市的地址最多。

 

表3 2021年第1季度被利用參與Memcached反射攻擊最多的反射服務(wù)器地址TOP20

 

（2）NTP反射服務(wù)器資源

 

NTP反射攻擊利用了NTP（一種通過互聯(lián)網(wǎng)服務(wù)于計算機時鐘同步的協(xié)議）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向NTP服務(wù)器IP地址的默認端口123發(fā)送偽造受害者IP地址的Monlist指令數(shù)據(jù)包，使NTP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進行反射攻擊。

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，參與反射攻擊的NTP反射服務(wù)器608879個，其中境內(nèi)反射服務(wù)器占比44.2%、云平臺反射服務(wù)器占比3.1%，如圖10所示。

 

                                                                    圖10 2021年第1季度NTP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺占比

 

位于境外的反射服務(wù)器按國家或地區(qū)統(tǒng)計，排名前三位的分別為越南（49.1%）、巴西（9.0%）和馬來西亞（4.0%），其中如圖11所示。

 

                                                                      圖11 2021年第1季度境外NTP反射服務(wù)器數(shù)量按國家或地區(qū)分布

 

位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計，排名前三位的分別為浙江?。?3.1%）、河北?。?1.5%）和湖北省（11.1%）；按運營商統(tǒng)計，電信占55.0%，聯(lián)通占34.2%，移動占9.2%，如圖12所示。

 

                                                                     圖12 2021年第1季度境內(nèi)NTP反射服務(wù)器數(shù)量按省份和運營商分布

 

被利用參與NTP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表4所示，位于安徽省、上海市的地址最多。

 

表4 2021年第1季度被利用參與NTP反射攻擊最多的反射服務(wù)器地址TOP20

 

 

（3）SSDP反射服務(wù)器資源

 

SSDP反射攻擊利用了SSDP（一種應(yīng)用層協(xié)議，是構(gòu)成通用即插即用(UPnP)技術(shù)的核心協(xié)議之一）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向SSDP服務(wù)器IP地址的默認端口1900發(fā)送偽造受害者IP地址的查詢請求，使SSDP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的應(yīng)答數(shù)據(jù)包，從而進行反射攻擊。

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，參與反射攻擊的SSDP反射服務(wù)器2646360個，其中境內(nèi)反射服務(wù)器占比92.5%、云平臺反射服務(wù)器占比0.2%，如圖13所示。

 

                                                                    圖13 2021年第1季度SSDP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺占比

 

位于境外的反射服務(wù)器按國家或地區(qū)統(tǒng)計，排名前三位的分別為俄羅斯（13.9%）、美國（9.1%）和韓國（8.2%），其中如圖14所示。

 

                                                                       圖14 2021年第1季度境外SSDP反射服務(wù)器數(shù)量按國家或地區(qū)分布

 

位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計，排名前三位的分別為浙江?。?6.5%）、廣東?。?0.6%）和遼寧?。?0.0%）；按運營商統(tǒng)計，電信占53.6%，聯(lián)通占45.2%，移動占0.6%，如圖15所示。

 

                                                                      圖15 2021年第1季度境內(nèi)SSDP反射服務(wù)器數(shù)量按省份和運營商分布

 

被利用參與SSDP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表5所示，位于上海市的地址最多。

 

表5 2021年第1季度被利用參與SSDP反射攻擊最多的反射服務(wù)器地址TOP20

 

 

4、轉(zhuǎn)發(fā)偽造流量的路由器分析

 

（1）跨域偽造流量來源路由器

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，轉(zhuǎn)發(fā)跨域偽造流量的路由器162個；按省份統(tǒng)計，排名前三位的分別為上海市（16.0%）、四川省（15.4%）和北京市（13.6%）；按運營商統(tǒng)計，電信占52.5%，移動占27.8%，聯(lián)通占19.8%，如圖16所示。

                                                                            圖16 跨域偽造流量來源路由器數(shù)量按省份和運營商分布

 

根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，參與攻擊事件最多的跨域偽造流量來源路由器地址前二十名及歸屬如表6所示，位于上海市的地址最多。

 

表6 2021年第1季度參與攻擊最多的跨域偽造流量來源路由器TOP20

 

 

（2）本地偽造流量來源路由器

 

2021年第1季度CNCERT/CC監(jiān)測發(fā)現(xiàn)，轉(zhuǎn)發(fā)本地偽造流量的路由器874個；按省份統(tǒng)計，排名前三位的分別為江蘇?。?.8%）、福建省（5.4%）和廣東?。?.3%）；按運營商統(tǒng)計，電信占48.5%，移動占33.4%，聯(lián)通占18.1%，如圖17所示。

 

                                                                  圖17 2021年第1季度本地偽造流量來源路由器數(shù)量按省份和運營商分布

 

根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，參與攻擊事件最多的本地偽造流量來源路由器地址前二十名及歸屬如表7所示，位于江蘇省的地址最多。

表7 2021年第1季度參與攻擊最多的本地偽造流量來源路由器TOP20