文章來源:國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT公眾號
引言
1、攻擊資源定義
本報(bào)告為2021年第3季度的DDoS攻擊資源分析報(bào)告�����。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問題,基于CNCERT監(jiān)測的DDoS攻擊事件數(shù)據(jù)進(jìn)行抽樣分析����,重點(diǎn)對“DDoS攻擊是從哪些網(wǎng)絡(luò)資源上發(fā)起的”這個(gè)問題進(jìn)行分析。主要分析的攻擊資源包括:
1�、控制端資源,指用來控制大量的僵尸主機(jī)節(jié)點(diǎn)向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸網(wǎng)絡(luò)控制端����。
2、肉雞資源��,指被控制端利用����,向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸主機(jī)節(jié)點(diǎn)。
3�����、反射服務(wù)器資源�,指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機(jī)等設(shè)施�����,它們提供的某些網(wǎng)絡(luò)服務(wù)(如DNS服務(wù)器,NTP服務(wù)器等)��,不需要進(jìn)行認(rèn)證并且具有放大效果�,又在互聯(lián)網(wǎng)上大量部署,從而成為被利用發(fā)起DDoS反射攻擊的網(wǎng)絡(luò)資源����。
4����、跨域偽造流量來源路由器,是指轉(zhuǎn)發(fā)了大量任意偽造IP攻擊流量的路由器��。由于我國要求運(yùn)營商在接入網(wǎng)上進(jìn)行源地址驗(yàn)證��,因此跨域偽造流量的存在���,說明該路由器或其下路由器的源地址驗(yàn)證配置可能存在缺陷���,且該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備。
5����、本地偽造流量來源路由器���,是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域IP攻擊流量的路由器。說明該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備���。
在本報(bào)告中���,一次DDoS攻擊事件是指在經(jīng)驗(yàn)攻擊周期內(nèi),不同的攻擊資源針對固定目標(biāo)的單個(gè)DDoS攻擊��,攻擊周期時(shí)長不超過24小時(shí)����。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊,但間隔為24小時(shí)或更多����,則該事件被認(rèn)為是兩次攻擊。此外���,DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址���,它們的地理位置由它的IP地址定位得到。
2、本季度重點(diǎn)關(guān)注情況
1��、本季度利用肉雞發(fā)起攻擊的活躍控制端中���,境外控制端按國家和地區(qū)統(tǒng)計(jì)���,最多位于美國、荷蘭和德國���;境內(nèi)控制端按省份統(tǒng)計(jì)��,最多位于廣東省、北京市和河南省�,按歸屬運(yùn)營商統(tǒng)計(jì),電信占比最大��,境內(nèi)活躍控制端數(shù)量進(jìn)一步降低�。
2、本季度參與攻擊的活躍境內(nèi)肉雞中�,按省份統(tǒng)計(jì)最多位于山東省、重慶市和廣東?���。话礆w屬運(yùn)營商統(tǒng)計(jì)��,聯(lián)通占比最大;境內(nèi)肉雞數(shù)量相比第二季度增加108.0%�����。
3���、本季度被利用參與Memcached反射攻擊的活躍境內(nèi)反射服務(wù)器中���,按省份統(tǒng)計(jì)排名前三名的省份是廣東省、河南省�、和山東省�;數(shù)量最多的歸屬運(yùn)營商是電信。被利用參與NTP反射攻擊的活躍境內(nèi)反射服務(wù)器中�,按省份統(tǒng)計(jì)排名前三名的省份是湖北省、河北省和河南?��?��;數(shù)量最多的歸屬運(yùn)營商是聯(lián)通。被利用參與SSDP反射攻擊的活躍境內(nèi)反射服務(wù)器中�����,按省份統(tǒng)計(jì)排名前三名的省份是浙江省、廣東省和遼寧?。粩?shù)量最多的歸屬運(yùn)營商是電信��。
4��、本季度轉(zhuǎn)發(fā)偽造跨域攻擊流量的路由器中���,位于貴州省���、四川省和江蘇省的路由器數(shù)量最多。本季度轉(zhuǎn)發(fā)偽造本地攻擊流量的路由器中��,位于河南省����、山東省和湖北省的路由器數(shù)量最多����。
DDoS攻擊資源分析
1、控制端資源分析
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn)�,利用肉雞發(fā)起DDoS攻擊的活躍控制端有500個(gè),其中境外控制端占比97.0%、云平臺控制端占比77.2%���,如圖1所示���,境內(nèi)控制端數(shù)量進(jìn)一步降低。
圖1 2021年第3季度發(fā)起DDoS攻擊的控制端數(shù)量境內(nèi)外分布和云平臺占比
位于境外的控制端按國家或地區(qū)統(tǒng)計(jì)�����,排名前三位的分別為美國(44.1%)���、荷蘭(9.7%)和德國(8.9%)����,其中如圖2所示��。
圖2 2021年第3季度發(fā)起DDoS攻擊的境外控制端數(shù)量按國家或地區(qū)分布
位于境內(nèi)的控制端按省份統(tǒng)計(jì)��,排名前三位的分別為廣東?��。?0.0%)����、北京市(20.0%)和河南省(13.3%)���;按運(yùn)營商統(tǒng)計(jì)�����,電信占26.7%��,聯(lián)通占6.7%�����,其他占比66.7%��,如圖3所示�����。
圖3 2021年第3季度發(fā)起DDoS攻擊的境內(nèi)控制端數(shù)量按省份和運(yùn)營商分布
發(fā)起攻擊最多的境內(nèi)控制端地址前十名及歸屬如表1所示����,位于上海市的地址最多�����。
表1 2021年第3季度發(fā)起攻擊的境內(nèi)控制端TOP10
2�、肉雞資源分析
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn),參與真實(shí)地址攻擊(包含真實(shí)地址攻擊與反射攻擊等其他攻擊的混合攻擊)的肉雞1004384個(gè)��,其中境內(nèi)肉雞占比96.5%����、云平臺肉雞占比1.9%,如圖4所示����,境內(nèi)肉雞數(shù)量相比第二季度增加108.0%。
圖4 2021年第3度參與DDoS攻擊的肉雞數(shù)量境內(nèi)外分布和云平臺占比
位于境外的肉雞按國家或地區(qū)統(tǒng)計(jì)�,排名前三位的分別為德國(14.8%)、美國(14.1%)和日本(13.4%)���,其中如圖5所示���。
圖5 2021年第3季度參與DDoS攻擊的境外肉雞數(shù)量按國家或地區(qū)分布
位于境內(nèi)的肉雞按省份統(tǒng)計(jì),排名前三位的分別為山東?��。?2.4%)���、重慶市(9.4%)和廣東?��。?.2%);按運(yùn)營商統(tǒng)計(jì)�,聯(lián)通占48.4%,電信占47.4%���,移動(dòng)占2.7%���,如圖6所示。
圖6 2021年第3季度參與DDoS攻擊的境內(nèi)肉雞數(shù)量按省份和運(yùn)營商分布
參與攻擊最多的境內(nèi)肉雞地址前二十名及歸屬如表2所示��,位于北京市的地址最多�。
表2 2021年第3季度參與攻擊最多的境內(nèi)肉雞地址TOP20
3、反射攻擊資源分析
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn)���,參與反射攻擊的三類重點(diǎn)反射服務(wù)器1701128臺���,其中境內(nèi)反射服務(wù)器占比85.6%,Memcached反射服務(wù)器占比5.1%�,NTP反射服務(wù)器占比23.1%,SSDP反射服務(wù)器占比71.8%�����。
(1)Memcached反射服務(wù)器資源
Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器(一種分布式緩存系統(tǒng))存在的認(rèn)證和設(shè)計(jì)缺陷�����,攻擊者通過向Memcached服務(wù)器IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包���,使Memcached服務(wù)器向受害者IP地址返回比請求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)���,從而進(jìn)行反射攻擊。
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn)��,參與反射攻擊的Memcached反射服務(wù)器86714個(gè)�,其中境內(nèi)反射服務(wù)器占比97.1%、云平臺反射服務(wù)器占比2.7%��,如圖7所示�。
圖7 2021年第3季度Memcached反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺占比
位于境外的反射服務(wù)器按國家或地區(qū)統(tǒng)計(jì),排名前三位的分別為美國(27.5%)��、德國(7.8%)和俄羅斯(5.2%)��,如圖8所示�����。
圖8 2021年第3季度境外Memcached反射服務(wù)器數(shù)量按國家或地區(qū)分布
位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì),排名前三位的分別為廣東?��。?0.5%)��、河南?���。?6.8%)和山東?��。?1.7%)�����;按運(yùn)營商統(tǒng)計(jì)����,電信占49.6%���,移動(dòng)占35.9%��,聯(lián)通占13.8%�����,如圖9所示�����。
圖9 2021年第3季度境內(nèi)Memcached反射服務(wù)器數(shù)量按省份和運(yùn)營商分布
被利用參與Memcached反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表3所示����,均位于河南省��。
表3 2021年第3季度被利用參與Memcached反射攻擊最多的反射服務(wù)器地址Top20
(2)NTP反射服務(wù)器資源
NTP反射攻擊利用了NTP(一種通過互聯(lián)網(wǎng)服務(wù)于計(jì)算機(jī)時(shí)鐘同步的協(xié)議)服務(wù)器存在的協(xié)議脆弱性����,攻擊者通過向NTP服務(wù)器IP地址的默認(rèn)端口123發(fā)送偽造受害者IP地址的Monlist指令數(shù)據(jù)包,使NTP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)����,從而進(jìn)行反射攻擊。
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn)�,參與反射攻擊的NTP反射服務(wù)器392819個(gè),其中境內(nèi)反射服務(wù)器占比54.4%���、云平臺反射服務(wù)器占比4.2%���,如圖10所示���。
位于境外的反射服務(wù)器按國家或地區(qū)統(tǒng)計(jì),排名前三位的分別為越南(60.2%)���、巴西(10.8%)和中國香港(7.2%)���,其中如圖11所示。
圖11 2021年第3季度境外NTP反射服務(wù)器數(shù)量按國家或地區(qū)分布
位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)�����,排名前三位的分別為湖北?���。?6.6%)、河北?���。?6.1%)和河南省(12.5%)�����;按運(yùn)營商統(tǒng)計(jì),聯(lián)通占56.5%����,電信占33.0%,移動(dòng)占8.6%����,如圖12所示。
圖12 2021年第3季度境內(nèi)NTP反射服務(wù)器數(shù)量按省份和運(yùn)營商分布
被利用參與NTP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表4所示�����,位于云南省的地址最多�����。
表4 2021年第3季度被利用參與NTP反射攻擊最多的反射服務(wù)器地址Top20
(3)SSDP反射服務(wù)器資源
SSDP反射攻擊利用了SSDP(一種應(yīng)用層協(xié)議��,是構(gòu)成通用即插即用(UPnP)技術(shù)的核心協(xié)議之一)服務(wù)器存在的協(xié)議脆弱性����,攻擊者通過向SSDP服務(wù)器IP地址的默認(rèn)端口1900發(fā)送偽造受害者IP地址的查詢請求���,使SSDP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的應(yīng)答數(shù)據(jù)包�����,從而進(jìn)行反射攻擊���。
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn)�����,參與反射攻擊的SSDP反射服務(wù)器1221595個(gè)��,其中境內(nèi)反射服務(wù)器占比94.8%����、云平臺反射服務(wù)器占比0.2%��,如圖13所示�。
圖13 2021年第3季度SSDP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺占比
位于境外的反射服務(wù)器按國家或地區(qū)統(tǒng)計(jì),排名前三位的分別為中國臺灣(26.1%)��、加拿大(10.6%)和美國(8.3%)���,其中如圖14所示���。
圖14 2021年第3季度境外SSDP反射服務(wù)器數(shù)量按國家或地區(qū)分布
位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)�,排名前三位的分別為浙江?��。?8.8%)�、廣東?���。?4.2%)和遼寧省(14.1%)�����;按運(yùn)營商統(tǒng)計(jì)����,電信占55.4%�����,聯(lián)通占42.9%�,移動(dòng)占1.4%,如圖15所示����。
圖15 2021年第3季度境內(nèi)SSDP反射服務(wù)器數(shù)量按省份和運(yùn)營商分布
被利用參與SSDP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表5所示�,位于寧夏省和云南省的地址最多�����。
表5 2021年第3季度被利用參與SSDP反射攻擊最多的反射服務(wù)器地址Top20
4���、轉(zhuǎn)發(fā)偽造流量的路由器分析
(1)跨域偽造流量來源路由器
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn)��,轉(zhuǎn)發(fā)跨域偽造流量的路由器138個(gè)�;按省份統(tǒng)計(jì)�,排名前三位的分別為貴州省(14.5%)����、四川省(13.8%)和江蘇?��。?.7%)���;按運(yùn)營商統(tǒng)計(jì),移動(dòng)占42.0%��,電信占38.4%�,聯(lián)通占19.6%���,如圖16所示。
圖16 跨域偽造流量來源路由器數(shù)量按省份和運(yùn)營商分布
根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)���,參與攻擊事件最多的跨域偽造流量來源路由器地址前二十名及歸屬如表6所示��,位于北京市的地址最多���。
表6 2021年第3季度參與攻擊最多的跨域偽造流量來源路由器TOP20
(2)本地偽造流量來源路由器
2021年第3季度CNCERT/CC監(jiān)測發(fā)現(xiàn),轉(zhuǎn)發(fā)本地偽造流量的路由器934個(gè)���;按省份統(tǒng)計(jì)�,排名前三位的分別為河南(9.6%)���、山東?��。?.1%)和湖北?���。?.5%);按運(yùn)營商統(tǒng)計(jì)����,電信占48.1%�,移動(dòng)占27.1%�����,聯(lián)通占24.8%����,如圖17所示。
圖17 2021年第3季度本地偽造流量來源路由器數(shù)量按省份和運(yùn)營商分布
根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)�,參與攻擊事件最多的本地偽造流量來源路由器地址前二十名及歸屬如表7所示,位于北京市���、江蘇省����、上海市的地址最多�����。
表7 2021年第3季度參與攻擊最多的本地偽造流量來源路由器TOP20
