本月重点关注情况

1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;得益于近期DDoS攻击资源的集中治理,境内控制端数量明显减少,其中位于河南省的数量最多,按归属运营商统计,电信占的比例最大。

2、本月参与攻击较多的肉鸡地址主要位于广东省、浙江省、江苏省和山东省,其中大量肉鸡地址归属于电信运营商。2019年以来监测到的持续活跃的肉鸡资源中,位于浙江省、江苏省、广东省和北京市占的比例最大。

3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是山东省、广东省和四川省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河南省和辽宁省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、浙江省和吉林省;数量最多的归属运营商是联通。

4、本月转发伪造跨域攻击流量的路由器中,归属于北京市的路由器参与的攻击事件数量最多,2019年以来被持续利用的跨域伪造流量来源路由器中,归属于福建省、安徽省和辽宁省路由器数量最多。

5、本月转发伪造本地攻击流量的路由器中,归属于浙江省电信的路由器参与的攻击事件数量最多,2019年以来被持续利用的本地伪造流量来源路由器中,归属于四川省、福建省和江苏省路由器数量最多。

攻击资源定义

本报告为2019年10月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源月度分析

1、控制端资源分析

根据CNCERT抽样监测数据,2019年10月,利用肉鸡发起DDoS攻击的控制端有388个,其中,17个控制端位于我国境内,371个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占37.2%,其次是荷兰和德国,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计,河南省占的比例最大,占23.5%,其次是江苏省、四川省和浙江省;按运营商统计,电信占的比例最大,占58.8%,移动占35.3%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

本月发起攻击最多的境内控制端前二十名及归属如表1所示,位于河南省的地址最多。

表1 本月发起攻击的境内控制端

控制端地址归属省份归属运营商或云服务商
103.XX.XX.143上海市电信
223.XX.XX.36江苏省移动
222.XX.XX.190上海市电信
101.XX.XX.194北京市BGP多线
36.XX.XX.10浙江省电信
61.XX.XX.163江苏省电信
223.XX.XX.78江苏省移动
106.XX.XX.45河南省电信
47.XX.XX.210山东省阿里云
43.XX.XX.88辽宁省电信
1.XX.XX.240河南省电信
118.XX.XX.156四川省BGP多线
118.XX.XX.197四川省BGP多线
115.XX.XX.125浙江省电信
120.XX.XX.126广东省阿里云
123.XX.XX.162河南省电信
123.XX.XX.44河南省电信

2019年至今监测到的控制端中,2.8%的控制端在本月仍处于活跃状态,共计79个,其中位于我国境内的控制端数量为2个,位于境外的控制端数量为77个。持续活跃的境内控制端及归属如表2所示。

表2 2019年以来持续活跃发起DDOS攻击的境内控制端

控制端地址归属省份归属运营商或云服务商
118.XX.XX.156四川省BGP多线
47.XX.XX.210山东省阿里云

2、肉鸡资源分析

根据CNCERT抽样监测数据,2019年10月,共有417,197个境内肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些境内肉鸡资源按省份统计,广东省占的比例最大,为14.2%,其次是浙江省、江苏省和山东省;按运营商统计,电信占的比例最大,为58.9%,联通占28.1%,移动占12.2%,如图3所示。

图3 本月境内肉鸡地址数量按省份和运营商分布

本月参与攻击最多的境内肉鸡地址前二十名及归属如表3所示,位于辽宁省的地址最多。

表3 本月参与攻击最多的境内肉鸡地址TOP20

肉鸡地址归属省份归属运营商
59.XX.XX.110山西省电信
59.XX.XX.14辽宁省电信
218.XX.XX.21安徽省电信
59.XX.XX.14辽宁省电信
60.XX.XX.66云南省电信
60.XX.XX.12安徽省电信
220.XX.XX.26浙江省电信
36.XX.XX.91安徽省电信
114.XX.XX.177江苏省电信
117.XX.XX.201江苏省电信
118.XX.XX.204湖南省电信
59.XX.XX.113辽宁省电信
110.XX.XX.133河北省联通
115.XX.XX.217浙江省电信
183.XX.XX.194浙江省电信
1.XX.XX.154黑龙江省联通
116.XX.XX.97内蒙古自治区联通
123.XX.XX.158辽宁省电信
59.XX.XX.105辽宁省电信
113.XX.XX.221黑龙江省联通

2019年至今监测到的肉鸡资源中,共计6,436个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为4,176个,位于境外的肉鸡数量为2,260个。2019年至今持续活跃的境内肉鸡资源按省份统计,浙江省占的比例最大,占20.2%,其次是江苏省、广东省和北京市;按运营商统计,电信占的比例最大,占51.2%,移动占24.5%,联通占13.7%,如图4所示。

图4 2019年以来持续活跃的境内肉鸡数量按省份和运营商分布

3、反射攻击资源分析

根据CNCERT抽样监测数据,2019年10月,利用反射服务器发起的三类重点反射攻击共涉及4,966,180台反射服务器,其中境内反射服务器3,292,020台,境外反射服务器1,674,160台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有24,482台,占比0.5%,其中境内反射服务器23,160台,境外反射服务器1,322台;利用NTP反射发起反射攻击的反射服务器有3,862,682台,占比77.8%,其中境内反射服务器2,428,575台,境外反射服务器1,434,107台;利用SSDP反射发起反射攻击的反射服务器有1,079,016台,占比21.7%,其中境内反射服务器840,285台,境外反射服务器238,731台。

(1)Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年10月,利用Memcached服务器实施反射攻击的事件共涉及境内23,160台反射服务器,境外1,322台反射服务器。

本月境内反射服务器数量按省份统计,山东省占的比例最大,占13.0%,其次是广东省、四川省和云南省;按归属运营商统计,电信占的比例最大,占72.6%,移动占比21.5%,联通占比5.5%,如图5所示。

图5 本月境内Memcached反射服务器数量按省份、运营商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占16.2%,其次是中国香港、法国和德国,如图6所示。

图6 本月境外Memcached反射服务器数量按国家或地区分布

本月被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表4所示,位于上海市的地址最多。

表4 本月境内被利用发起Memcached反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址归属省份归属运营商或云服务商
140.XX.XX.118上海市联通
106.XX.XX.142北京市电信
111.XX.XX.101上海市BGP多线
118.XX.XX.151上海市BGP多线
115.XX.XX.93上海市BGP多线
115.XX.XX.193上海市BGP多线
49.XX.XX.137上海市BGP多线
49.XX.XX.236上海市BGP多线
111.XX.XX.95上海市BGP多线
117.XX.XX.51甘肃省移动
114.XX.XX.232上海市BGP多线
129.XX.XX.228上海市BGP多线
140.XX.XX.161北京市BGP多线
106.XX.XX.230北京市电信
221.XX.XX.101陕西省联通
39.XX.XX.63北京市阿里云
221.XX.XX.103陕西省联通
120.XX.XX.166上海市移动
62.XX.XX.110北京市BGP多线
106.XX.XX.18北京市电信
116.XX.XX.162上海市联通
182.XX.XX.188云南省电信
1.XX.XX.155山西省电信
118.XX.XX.217上海市BGP多线
106.XX.XX.122未知BGP多线
106.XX.XX.185未知BGP多线
152.XX.XX.102北京市BGP多线
116.XX.XX.127北京市BGP多线
118.XX.XX.132上海市BGP多线
49.XX.XX.22上海市BGP多线

近两月被利用发起攻击的Memcached反射服务器中,共计2,238个在本月仍处于活跃状态。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,浙江省占的比例最大,占16.4%,其次是山东省、广东省和江苏省;按运营商统计,电信占的比例最大,占42.1%,移动占28.9%,联通占14.5%,如图7所示。

图7 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商分布

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年10月,NTP反射攻击事件共涉及我国境内2,428,575台反射服务器,境外1,434,107台反射服务器。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占12.8%,其次是河南省、辽宁省和河北省;按归属运营商统计,联通占的比例最大,占67.5%,电信占比28.3%,移动占比2.9%,如图8所示。

图8 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占35.7%,其次是巴西、巴基斯坦和乌克兰,如图9所示。

图9 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表5所示,位于山东省的地址最多。

表5 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30

反射服务器地址归属省份归属运营商
220.XX.XX.229云南省电信
111.XX.XX.206山西省移动
223.XX.XX.173山东省移动
218.XX.XX.98山东省移动
111.XX.XX.215山西省移动
112.XX.XX.166山东省移动
112.XX.XX.92山东省移动
211.XX.XX.78山西省移动
120.XX.XX.99安徽省移动
183.XX.XX.70山西省移动
112.XX.XX.80安徽省移动
119.XX.XX.50宁夏回族自治区电信
222.XX.XX.110山东省BGP多线
223.XX.XX.4山东省移动
112.XX.XX.252山东省移动
111.XX.XX.30山西省移动
223.XX.XX.3山东省移动
111.XX.XX.146山西省移动
122.XX.XX.226吉林省联通
211.XX.XX.36山西省移动
223.XX.XX.202山东省移动
59.XX.XX.2山西省电信
111.XX.XX.245山西省移动
223.XX.XX.242山东省移动
112.XX.XX.109山东省移动
122.XX.XX.20吉林省联通
111.XX.XX.217山西省移动
111.XX.XX.162山东省移动
112.XX.XX.251山东省移动
223.XX.XX.5山东省移动

近两月被持续利用发起攻击的NTP反射服务器中,共计175,928个在本月仍处于活跃状态,其中92,669个位于境内,83,259个位于境外。持续活跃的NTP反射服务器按省份统计,河北省占的比例最大,占18.1%,其次是湖北省、山东省和山西省;按运营商统计,联通占的比例最大,占44.3%,电信占30.2%,移动占22.8%,如图10所示。

图10 近两月被持续利用发起攻击的NTP反射服务器数量按省份和运营商分布

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年10月,SSDP反射攻击事件共涉及境内840,285台反射服务器,境外238,731台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占24.2%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占64.8%,电信占比33.6%,移动占比0.7%,如图11所示。

图11 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占16.9%,其次是美国、中国台湾和加拿大,如图12所示。

图12 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表6所示,位于湖南省和陕西省的地址最多。

表6 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址归属省份归属运营商
116.XX.XX.222上海市电信
59.XX.XX.236海南省电信
112.XX.XX.249安徽省移动
116.XX.XX.140上海市电信
125.XX.XX.83甘肃省电信
180.XX.XX.10上海市电信
222.XX.XX.245上海市电信
58.XX.XX.66上海市联通
125.XX.XX.73上海市BGP多线
218.XX.XX.163湖南省电信
59.XX.XX.242山西省电信
183.XX.XX.236重庆市电信
58.XX.XX.226上海市联通
183.XX.XX.166重庆市电信
222.XX.XX.182重庆市电信
222.XX.XX.88湖南省电信
117.XX.XX.134上海市移动
61.XX.XX.170重庆市电信
118.XX.XX.118甘肃省电信
220.XX.XX.20湖南省电信
61.XX.XX.126宁夏回族自治区电信
218.XX.XX.35湖南省电信
27.XX.XX.62上海市联通
58.XX.XX.154上海市联通
218.XX.XX.128湖南省电信
112.XX.XX.118上海市联通
140.XX.XX.50上海市联通
125.XX.XX.193甘肃省电信
113.XX.XX.14广西壮族自治区电信
116.XX.XX.33广西壮族自治区电信

近两月被持续利用发起攻击的SSDP反射服务器中,共计200,092个在本月仍处于活跃状态,其中110,705位于境内,89,387个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,辽宁省占的比例最大,占13.7%,其次是河北省、广东省和湖北省;按运营商统计,联通占的比例最大,占52.2%,电信占33.7%,移动占12.2%,如图13所示。

图13 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布

(4)发起伪造流量的路由器分析

1. 跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2019年10月,通过跨域伪造流量发起攻击的流量来源于24个路由器。根据参与攻击事件的数量统计,归属于北京市的路由器(202.XX.XX.61和202.XX.XX.60)参与的攻击事件数量最多,其次是归属于安徽省移动的路由器(120.XX.XX.247),如表7所示。

表7 本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量来源路由器归属省份归属运营商
202.XX.XX.61北京市待确认
202.XX.XX.60北京市待确认
120.XX.XX.247安徽省移动
218.XX.XX.221福建省移动
218.XX.XX.5贵州省移动
221.XX.XX.253安徽省移动
218.XX.XX.213福建省移动
218.XX.XX.212福建省移动
218.XX.XX.215福建省移动
218.XX.XX.214福建省移动
120.XX.XX.248安徽省移动
218.XX.XX.220福建省移动
202.XX.XX.116天津市待确认
218.XX.XX.4贵州省移动
202.XX.XX.118天津市待确认
202.XX.XX.222四川省待确认
202.XX.XX.223四川省待确认
58.XX.XX.248湖北省联通
111.XX.XX.1青海省移动
221.XX.XX.7江苏省移动
120.XX.XX.8广东省联通
202.XX.XX.52辽宁省待确认
202.XX.XX.180辽宁省待确认
120.XX.XX.8广东省联通

跨域伪造流量涉及路由器按省份分布统计,福建省占的比例最大,占25.0%,其次是安徽省、辽宁省和贵州省;按路由器所属运营商统计,移动占的比例最大,占43.3%,联通占比10.0%,电信占比3.3%,如图14所示。

图14 跨域伪造流量来源路由器数量按省份和运营商分布

2019年以来被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有8个在本月仍活跃,存活率为5.1%,分布在天津市、北京市、辽宁省和四川省,均归属电信运营商,如图15所示。

图15 2019年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份分布

2. 本地伪造流量来源路由器

根据CNCERT抽样监测数据,2019年10月,通过本地伪造流量发起攻击的流量来源于47个路由器。根据参与攻击事件的数量统计,归属于浙江省电信的路由器(220.XX.XX.127和220.XX.XX.126)参与的攻击事件数量最多,其次是归属于四川省电信的路由器(218.XX.XX.129),如表8所示。

表8 本月参与攻击最多的本地伪造流量来源路由器TOP25

本地伪造流量来源路由器归属省份归属运营商
220.XX.XX.127浙江省电信
220.XX.XX.126浙江省电信
218.XX.XX.129四川省电信
202.XX.XX.136浙江省电信
202.XX.XX.137浙江省电信
218.XX.XX.130四川省电信
202.XX.XX.2四川省电信
202.XX.XX.65四川省电信
61.XX.XX.1四川省电信
61.XX.XX.2浙江省电信
61.XX.XX.1浙江省电信
61.XX.XX.220浙江省电信
218.XX.XX.224福建省移动
218.XX.XX.225福建省移动
218.XX.XX.204福建省移动
218.XX.XX.205福建省移动
221.XX.XX.189广东省移动
221.XX.XX.237广东省移动
61.XX.XX.255江苏省电信
221.XX.XX.229广东省移动
221.XX.XX.6江苏省电信
221.XX.XX.5江苏省电信
202.XX.XX.65四川省电信
202.XX.XX.64四川省电信
202.XX.XX.67四川省电信

本月本地伪造流量涉及路由器按省份分布,四川省占的比例最大,占19.2%,其次是福建省、江苏省和广东省;按路由器所属运营商统计,电信占的比例最大,占66.0%,移动占比19.2%,联通占比8.5%,如图16所示。

图16 本月本地伪造流量来源路由器数量按省份和运营商分布

2019年以来被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有42个在本月仍活跃,存活率为7.3%。按省份统计,四川省占的比例最大,占22.0%,其次是福建省、江苏省和浙江省;按路由器所属运营商统计,电信占的比例最大,占58.2%,移动占比14.6%,如图17所示。

图17 2019年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。