文章來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT公眾號(hào)

引言

1、攻擊資源定義

本報(bào)告為2021年第4季度的DDoS攻擊資源分析報(bào)告。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問(wèn)題，基于CNCERT監(jiān)測(cè)的DDoS攻擊事件數(shù)據(jù)進(jìn)行抽樣分析，重點(diǎn)對(duì)“DDoS攻擊是從哪些網(wǎng)絡(luò)資源上發(fā)起的”這個(gè)問(wèn)題進(jìn)行分析。主要分析的攻擊資源包括：

1、控制端資源，指用來(lái)控制大量的僵尸主機(jī)節(jié)點(diǎn)向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸網(wǎng)絡(luò)控制端。

2、肉雞資源，指被控制端利用，向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸主機(jī)節(jié)點(diǎn)。

3、反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機(jī)等設(shè)施，它們提供的某些網(wǎng)絡(luò)服務(wù)（如DNS服務(wù)器，NTP服務(wù)器等），不需要進(jìn)行認(rèn)證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署，從而成為被利用發(fā)起DDoS反射攻擊的網(wǎng)絡(luò)資源。

4、跨域偽造流量來(lái)源路由器，是指轉(zhuǎn)發(fā)了大量任意偽造IP攻擊流量的路由器。由于我國(guó)要求運(yùn)營(yíng)商在接入網(wǎng)上進(jìn)行源地址驗(yàn)證，因此跨域偽造流量的存在，說(shuō)明該路由器或其下路由器的源地址驗(yàn)證配置可能存在缺陷，且該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備。

5、本地偽造流量來(lái)源路由器，是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域IP攻擊流量的路由器。說(shuō)明該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備。

在本報(bào)告中，一次DDoS攻擊事件是指在經(jīng)驗(yàn)攻擊周期內(nèi)，不同的攻擊資源針對(duì)固定目標(biāo)的單個(gè)DDoS攻擊，攻擊周期時(shí)長(zhǎng)不超過(guò)24小時(shí)。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊，但間隔為24小時(shí)或更多，則該事件被認(rèn)為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

2、本季度重點(diǎn)關(guān)注情況

1、本季度利用肉雞發(fā)起攻擊的活躍控制端中，境外控制端按國(guó)家和地區(qū)統(tǒng)計(jì)，最多位于美國(guó)、荷蘭和德國(guó)；境內(nèi)控制端按省份統(tǒng)計(jì)，最多位于北京市、山東省和福建省，按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，電信占比最大，境內(nèi)活躍控制端數(shù)量相比第3季度有所增加。

2、本季度參與攻擊的活躍境內(nèi)肉雞中，按省份統(tǒng)計(jì)最多位于山東省、浙江省和重慶市；按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占比最大。

3、本季度被利用參與SSDP反射攻擊的活躍境內(nèi)反射服務(wù)器中，按省份統(tǒng)計(jì)排名前三名的省份是浙江省、遼寧省和廣東省，數(shù)量最多的歸屬運(yùn)營(yíng)商是電信。本季度被利用參與NTP反射攻擊的活躍境內(nèi)反射服務(wù)器中，按省份統(tǒng)計(jì)排名前三名的省份是湖北省、浙江省和河南省，數(shù)量最多的歸屬運(yùn)營(yíng)商是電信。本季度被利用參與Memcached反射攻擊的活躍境內(nèi)反射服務(wù)器中，按省份統(tǒng)計(jì)排名前三名的省份是廣東省、山東省、和河北省，數(shù)量最多的歸屬運(yùn)營(yíng)商是移動(dòng)。本季度被利用參與SSDP反射攻擊的反射服務(wù)器最多。

4、本季度轉(zhuǎn)發(fā)偽造跨域攻擊流量的路由器中，位于北京市、陜西省和甘肅省的路由器數(shù)量最多。本季度轉(zhuǎn)發(fā)偽造本地攻擊流量的路由器中，位于湖南省、河南省和江蘇省的路由器數(shù)量最多。

DDoS攻擊資源分析

1、控制端資源分析

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，利用肉雞發(fā)起DDoS攻擊的活躍控制端有549個(gè)，其中境外控制端占比95.1%、云平臺(tái)控制端占比75.2%，如圖1所示。境內(nèi)控制端有27個(gè)，相比第3季度數(shù)量有所增加。

圖1 2021年第4季度發(fā)起DDoS攻擊的控制端數(shù)量境內(nèi)外分布和云平臺(tái)占比

位于境外的控制端按國(guó)家或地區(qū)統(tǒng)計(jì)，排名前三位的分別為美國(guó)（41.6%）、荷蘭（10.3%）和德國(guó)（9.0%），其中如圖2所示。

圖2 2021年第4季度發(fā)起DDoS攻擊的境外控制端數(shù)量按國(guó)家或地區(qū)分布

位于境內(nèi)的控制端按省份統(tǒng)計(jì)，排名前三位的分別為北京市（25.9%）、山東?。?4.8%）和福建?。?.4%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，電信占25.9%，聯(lián)通占22.2%，其他占51.9%，如圖3所示。

圖3 2021年第4季度發(fā)起DDoS攻擊的境內(nèi)控制端數(shù)量按省份和運(yùn)營(yíng)商分布

境內(nèi)控制端中位于云平臺(tái)的控制端共22個(gè)，其中騰訊云占32%，阿里云占18.2%，億速云占4.5%，其他占45.5%，如圖4所示。

圖4 2021年第4季度參與DDoS攻擊的境內(nèi)云平臺(tái)控制端分布

發(fā)起攻擊最多的境內(nèi)控制端地址前十名及歸屬如表1所示，位于北京市的地址最多。

表1 2021年第4季度發(fā)起攻擊的境內(nèi)控制端TOP10

2、肉雞資源分析

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，參與真實(shí)地址攻擊（包含真實(shí)地址攻擊與反射攻擊等其他攻擊的混合攻擊）的肉雞666515個(gè)，其中境內(nèi)肉雞占比95.1%、云平臺(tái)肉雞占比2.9%，如圖5所示。

圖5 2021年第4度參與DDoS攻擊的肉雞數(shù)量境內(nèi)外分布和云平臺(tái)占比

位于境外的肉雞按國(guó)家或地區(qū)統(tǒng)計(jì)，排名前三位的分別為日本（18.2%）、美國(guó)（12.5%）和越南（6.3%），其中如圖6所示。

圖6 2021年第4季度參與DDoS攻擊的境外肉雞數(shù)量按國(guó)家或地區(qū)分布

位于境內(nèi)的肉雞按省份統(tǒng)計(jì)，排名前三位的分別為山東?。?4.3%）、浙江市（10.7%）和重慶?。?.4%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占49.2%，電信占44.6%，移動(dòng)占4.0%，其他占2.3%，如圖7所示。

圖7 2021年第4季度參與DDoS攻擊的境內(nèi)肉雞數(shù)量按省份和運(yùn)營(yíng)商分布

境內(nèi)肉雞中位于云平臺(tái)的肉雞共16053個(gè)，其中阿里云占38.3%，騰訊云占25.7%，華為云占3.7%，百度云占2.6%，其他占29.7%，如圖8所示。

圖8 2021年第4季度參與DDoS攻擊的境內(nèi)云平臺(tái)肉雞分布

參與攻擊最多的境內(nèi)肉雞地址前二十名及歸屬如表2所示，位于廣東省的地址最多。

表2 2021年第4季度參與攻擊最多的境內(nèi)肉雞地址TOP20

3、反射攻擊資源分析

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，參與反射攻擊的三類重點(diǎn)反射服務(wù)器1318074臺(tái)，SSDP反射服務(wù)器占比77.4%， NTP反射服務(wù)器占比18.8%，Memcached反射服務(wù)器占比3.8%，其中境內(nèi)反射服務(wù)器占比86.2%。

（1）SSDP反射服務(wù)器資源

SSDP反射攻擊利用了SSDP（一種應(yīng)用層協(xié)議，是構(gòu)成通用即插即用(UPnP)技術(shù)的核心協(xié)議之一）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過(guò)向SSDP服務(wù)器IP地址的默認(rèn)端口1900發(fā)送偽造受害者IP地址的查詢請(qǐng)求，使SSDP服務(wù)器向受害者IP地址返回比原始數(shù)據(jù)包大數(shù)倍的應(yīng)答數(shù)據(jù)包，從而進(jìn)行反射攻擊。

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，參與反射攻擊的SSDP反射服務(wù)器1020283個(gè)，其中境內(nèi)反射服務(wù)器占比96.8%、云平臺(tái)反射服務(wù)器占比0.1%，如圖9所示。

圖9 2021年第4季度SSDP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺(tái)占比

位于境外的反射服務(wù)器按國(guó)家或地區(qū)統(tǒng)計(jì)，排名前三位的分別為加拿大（17.8%）、中國(guó)臺(tái)灣（13.6%）和俄羅斯（12.7%），其中如圖10所示。

圖10 2021年第4季度境外SSDP反射服務(wù)器數(shù)量按國(guó)家或地區(qū)分布

位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)，排名前三位的分別為浙江?。?8.9%）、遼寧?。?3.8%）和廣東?。?3.7%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，電信占57.8%，聯(lián)通占40.4%，移動(dòng)占1.4%，如圖11所示。

圖11 2021年第4季度境內(nèi)SSDP反射服務(wù)器數(shù)量按省份和運(yùn)營(yíng)商分布

境內(nèi)的SSDP反射服務(wù)器中位于云平臺(tái)的服務(wù)器共870個(gè)，其中騰訊云占6%，阿里云占5.9%，其他占88.2%，如圖12所示。

圖12 2021年第4季度境內(nèi)云平臺(tái)SSDP反射服務(wù)器分布

被利用參與SSDP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表3所示，位于吉林省的地址最多。

表3 2021年第4季度被利用參與SSDP反射攻擊最多的反射服務(wù)器地址Top20

（2）NTP反射服務(wù)器資源

NTP反射攻擊利用了NTP（一種通過(guò)互聯(lián)網(wǎng)服務(wù)與計(jì)算機(jī)時(shí)鐘同步的協(xié)議）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過(guò)向NTP服務(wù)器IP地址的默認(rèn)端口123發(fā)送偽造受害者IP地址的Monlist指令數(shù)據(jù)包，使NTP服務(wù)器向受害者IP地址返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進(jìn)行反射攻擊。

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，參與反射攻擊的NTP反射服務(wù)器247537個(gè)，其中境內(nèi)反射服務(wù)器占比40.2%、云平臺(tái)反射服務(wù)器占比4.8%，如圖13所示。

圖13 2021年第4季度NTP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺(tái)占比

位于境外的反射服務(wù)器按國(guó)家或地區(qū)統(tǒng)計(jì)，排名前三位的分別為越南（64.4%）、巴西（10.3%）和中國(guó)香港（2.6%），其中如圖14所示。

圖14 2021年第4季度境外NTP反射服務(wù)器數(shù)量按國(guó)家或地區(qū)分布

位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)，排名前三位的分別為湖北?。?2.7%）、浙江?。?5.5%）和河南?。?2.9%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，電信占43.5%，聯(lián)通占40.3%，移動(dòng)占15.0%，如圖15所示。

圖15 2021年第4季度境內(nèi)NTP反射服務(wù)器數(shù)量按省份和運(yùn)營(yíng)商分布

境內(nèi)的NTP反射服務(wù)器中位于云平臺(tái)的服務(wù)器共8203個(gè)，其中騰訊云占6.4%，華為云占0.8%，阿里云占0.4%，其他占92.4%，如圖16所示。

圖16 2021年第4季度境內(nèi)云平臺(tái)NTP反射服務(wù)器分布

被利用參與NTP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表4所示，位于安徽省的地址最多。

表4 2021年第4季度被利用參與NTP反射攻擊最多的反射服務(wù)器地址Top20

（3）Memcached反射服務(wù)器資源

Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器（一種分布式緩存系統(tǒng)）存在的認(rèn)證和設(shè)計(jì)缺陷，攻擊者通過(guò)向Memcached服務(wù)器IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包，使Memcached服務(wù)器向受害者IP地址返回比請(qǐng)求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進(jìn)行反射攻擊。

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，參與反射攻擊的Memcached反射服務(wù)器50254個(gè)，其中境內(nèi)反射服務(wù)器占比96.4%、云平臺(tái)反射服務(wù)器占比2.9%，如圖17所示。

圖17 2021年第4季度Memcached反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺(tái)占比

位于境外的反射服務(wù)器按國(guó)家或地區(qū)統(tǒng)計(jì)，排名前三位的分別為美國(guó)（19.7%）、法國(guó)（11.8%）和德國(guó)（9.1%），如圖18所示。

圖18 2021年第4季度境外Memcached反射服務(wù)器數(shù)量按國(guó)家或地區(qū)分布

位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)，排名前三位的分別為廣東?。?8.3%）、山東?。?7.8%）和河北省（5.7%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，移動(dòng)占45.8%，電信占37.6%，聯(lián)通占15.2%，如圖19所示。

圖19 2021年第4季度境內(nèi)Memcached反射服務(wù)器數(shù)量按省份和運(yùn)營(yíng)商分布

境內(nèi)的Memcached反射服務(wù)器中位于云平臺(tái)的服務(wù)器共619個(gè)，其中阿里云占42.8%，騰訊云占46.3%，百度云占5%，華為云占2.4%，其他占33.4%，如圖20所示。

圖20 2021年第4季度境內(nèi)云平臺(tái)Memcached反射服務(wù)器分布

被利用參與Memcached反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表5所示，位于北京市和廣東省的地址最多。

表5  2021年第4季度被利用參與Memcached反射攻擊最多的反射服務(wù)器地址Top20

4、轉(zhuǎn)發(fā)偽造流量的路由器分析

（1）跨域偽造流量來(lái)源路由器

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，轉(zhuǎn)發(fā)跨域偽造流量的路由器19個(gè)；按省份統(tǒng)計(jì)，排名前三位的分別為北京市（47.4%）、陜西?。?1.1%）和甘肅省（10.5%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，電信占63.2%，聯(lián)通占21.1%，移動(dòng)占15.8%，如圖21所示。

圖21 跨域偽造流量來(lái)源路由器數(shù)量按省份和運(yùn)營(yíng)商分布

根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)，參與攻擊事件最多的跨域偽造流量來(lái)源路由器地址前二十名及歸屬如表6所示，位于北京市的地址最多。

表6  2021年第4季度參與攻擊最多的跨域偽造流量來(lái)源路由器TOP20

（2）本地偽造流量來(lái)源路由器

2021年第4季度CNCERT監(jiān)測(cè)發(fā)現(xiàn)，轉(zhuǎn)發(fā)本地偽造流量的路由器449個(gè)；按省份統(tǒng)計(jì)，排名前三位的分別為湖南?。?0.7%）、河南省（9.8%）和江蘇?。?.8%）；按運(yùn)營(yíng)商統(tǒng)計(jì)，電信占69.3%，聯(lián)通占17.8%，移動(dòng)占12.9%，如圖22所示。

圖22 2021年第4季度本地偽造流量來(lái)源路由器數(shù)量按省份和運(yùn)營(yíng)商分布

根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)，參與攻擊事件最多的本地偽造流量來(lái)源路由器地址前二十名及歸屬如表7所示，位于北京市的地址最多。

表7 2021年第4季度參與攻擊最多的本地偽造流量來(lái)源路由器TOP20