本月重点关注情况

1、本月利用memcached服务器实施反射攻击的事件整体呈下降趋势。本月被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、浙江省、和北京市;数量最多的归属运营商是电信。

2、本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是黑龙江省、河南省、和北京市;数量最多的归属运营商是联通。

3、本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、辽宁省、和河北省;数量最多的归属运营商是联通。

4、本月反射攻击发起流量来源路由器数量按省份统计排名前三名的省份是广东省、浙江省和北京市;根据转发攻击事件的数量统计,最多的路由器归属于内蒙古自治区联通和上海市联通。

攻击资源定义

本报告为2018年3月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、反射攻击发起流量来源路由器,指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击发起流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源分析

1、控制端资源分析

根据CNCERT抽样监测数据,2018年3月,利用肉鸡发起DDoS攻击的控制端总量为980个,其中,340个控制端位于境内,640个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占55.5%,其次是中国香港和日本,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区TOP30

位于境内的控制端按省份统计,广东省占的比例最大,占15.9%,其次是浙江省、上海市和山东省;按运营商统计,电信占的比例最大,占57.6%,联通占23.2%,移动占8.5%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于浙江省和广东省。

表1 本月发起攻击最多的境内控制端TOP20

控制端地址归属省份归属运营商
220.X.X.54湖南省电信
113.X.X.61广东省电信
123.X.X.92贵州省电信
115.X.X.184浙江省电信
58.X.X.162江苏省电信
113.X.X.60广东省电信
58.X.X.9江苏省电信
221.X.X.34江苏省电信
115.X.X.29浙江省电信
101.X.X.247北京市电信
123.X.X.199贵州省电信
123.X.X.153山东省联通
123.X.X.12贵州省电信
123.X.X.56上海市电信
117.X.X.107江西省电信
58.X.X.57江苏省电信
58.X.X.54江苏省电信
58.X.X.116江苏省电信
123.X.X.122上海市电信
115.X.X.117浙江省电信

2018年1月至今监测到的控制端中,4.3%的控制端在本月仍处于活跃状态,共计128个,其中位于我国境内的控制端数量为44个,位于境外的控制端数量为84个。近三月发起DDoS攻击最多且持续活跃的境内控制端TOP20归属如表2所示,主要位于江苏省和广东省。

表2 2018年以来发起DDOS攻击次数TOP20的持续活跃境内控制端

控制端地址归属省份归属运营商或云服务商
58.X.X.162江苏省电信
221.X.X.34江苏省电信
222.X.X.64江苏省电信
115.X.X.184浙江省电信
123.X.X.153山东省联通
113.X.X.61广东省电信
112.X.X.3广东省阿里云
113.X.X.60广东省电信
123.X.X.92贵州省电信
58.X.X.9江苏省电信
123.X.X.199贵州省电信
220.X.X.54湖南省电信
101.X.X.247北京市电信
123.X.X.122上海市电信
117.X.X.107江西省电信
222.X.X.48江苏省电信
116.X.X.20北京市待确认
222.X.X.44江苏省电信
139.X.X.95广东省电信
115.X.X.117浙江省电信

2018年1月至今持续活跃的境内控制端按省份统计,江苏省占的比例最大,为34.1%,其次是上海市、贵州省和浙江省;按运营商统计,电信占的比例最大,为88.6%,联通占2.3%,如图3所示。

图3 2018年以来持续发起DDoS攻击的境内控制端数量按省份和运营商分布

2、肉鸡资源分析

根据CNCERT抽样监测数据,2018年3月,共有26,793个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些肉鸡资源按省份统计,广东省占的比例最大,为20.4%,其次是浙江省、江苏省和山东省;按运营商统计,电信占的比例最大,为53.1%,联通占32.8%,移动占7.7%,如图4所示。

图4 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于浙江省的地址最多。

表3本月参与攻击最多的肉鸡地址TOP20

肉鸡地址归属省份归属运营商或云服务商
14.X.X.128广东省电信
118.X.X.36广东省阿里云
111.X.X.10浙江省移动
111.X.X.12浙江省移动
111.X.X.14浙江省移动
183.X.X.78浙江省电信
47.X.X.54河北省阿里云
125.X.X.100福建省电信
120.X.X.25浙江省阿里云
202.X.X.163浙江省电信
218.X.X.15北京市待确认
139.X.X.168上海市电信
61.X.X.34江苏省电信
40.X.X.137北京市待确认
150.X.X.174山东省电信
61.X.X.4浙江省电信
61.X.X.3浙江省电信
222.X.X.180山东省联通
60.X.X.195山东省联通
202.X.X.18山西省联通

2018年1月至今监测到的肉鸡资源中,共计216个肉鸡在本月仍处于活跃状态。近三月被利用发起DDoS攻击最多的肉鸡TOP30归属如表4所示。

表4近三月被利用发起DDoS攻击最多的肉鸡TOP30,且仍在本月活跃的肉鸡地址

肉鸡地址归属省份归属运营商
202.X.X.163浙江省电信
140.X.X.202上海市联通
124.X.X.212安徽省电信
115.X.X.247浙江省电信
121.X.X.195河北省联通
42.X.X.83上海市电信
183.X.X.23浙江省电信
210.X.X.50河南省电信
122.X.X.99吉林省联通
119.X.X.67河北省联通
218.X.X.26浙江省电信
116.X.X.123云南省电信
114.X.X.184上海市电信
116.X.X.36云南省电信
59.X.X.14福建省电信
218.X.X.28山东省联通
120.X.X.34山东省移动
61.X.X.54浙江省电信
101.X.X.244上海市电信
122.X.X.98江苏省联通
101.X.X.245上海市电信
61.X.X.2浙江省电信
101.X.X.243上海市电信
122.X.X.225山东省电信
125.X.X.49河南省联通
222.X.X.45河南省电信
112.X.X.165浙江省移动
122.X.X.163浙江省电信
222.X.X.74黑龙江省电信
219.X.X.251湖北省电信

2018年以来持续活跃的肉鸡资源按省份统计,浙江省占的比例最大,占13.0%,其次是山东省、江苏省和上海市;按运营商统计,电信占的比例最大,占62.3%,联通占20.5%,移动占13.5%,如图5所示。

图5 2018年以来持续活跃的肉鸡数量按省份和运营商分布

3、反射攻击资源分析

(1)反射服务器资源

根据CNCERT抽样监测数据,2018年3月,利用反射服务器发起的三类重点反射攻击共涉及2,035,329台反射服务器,其中境内反射服务器1,913,967台,境外反射服务器121,362台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器有39,324台,占比1.9%,其中境内反射服务器18,358台,境外反射服务器20,966台;利用NTP反射发起反射攻击的反射服务器有37,054台,占比1.8%,其中境内反射服务器3,669台,境外反射服务器33,385台;利用SSDP反射发起反射攻击的反射服务器有1,958,951台,占比96.2%,其中境内反射服务器1,891,940台,境外反射服务器67,011台。

1)memcached反射服务器资源

memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年3月,利用memcached服务器实施反射攻击的事件共涉及境内18,358台反射服务器,境外20,966台反射服务器。本月此类事件涉及的反射服务器数量趋势图,如图6所示,监测发现自3月1日开始被利用发起攻击的反射服务器数量整体呈下降趋势。

图6本月memcached反射服务器数量按天分布图

本月境内反射服务器数量按省份统计,广东省占的比例最大,占22.4%,其次是浙江省、北京市和上海市;按归属运营商或云服务商统计,电信占的比例最大,占35.6%,阿里云占比31.4%,联通占比12.5%,移动占比9.3%,如图7所示。

图7本月境内memcached反射服务器数量按省份、运营商或云服务商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占20.9%,其次是荷兰、中国香港和俄罗斯,如图8所示。

图8本月境外反射服务器数量按国家或地区分布

本月境内发起反射攻击事件数量TOP100中目前仍存活的memcached服务器及归属如表5所示,位于北京市的地址最多。

表5本月境内发起反射攻击事件数量TOP100中仍存活的memcached服务器TOP30

反射服务器地址归属省份归属运营商或云服务商
202.X.X.189吉林省联通
123.X.X.107广东省电信
61.X.X.87北京市联通
52.X.X.158北京市待确认
103.X.X.142湖南省联通
58.X.X.8湖南省联通
202.X.X.240新疆维吾尔自治区电信
114.X.X.253北京市联通
211.X.X.248北京市电信
121.X.X.197北京市联通
218.X.X.76广西壮族自治区电信
61.X.X.137北京市联通
219.X.X.220北京市电信
52.X.X.66北京市待确认
180.X.X.106上海市电信
202.X.X.108北京市联通
54.X.X.56北京市电信
211.X.X.171北京市电信
175.X.X.214湖南省电信
119.X.X.18广东省联通
116.X.X.116河南省联通
106.X.X.51北京市电信
116.X.X.17北京市待确认
150.X.X.100天津市联通
183.X.X.166上海市移动
59.X.X.236北京市联通
43.X.X.117北京市联通
218.X.X.252浙江省联通
116.X.X.167河南省联通

2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年3月,NTP反射攻击事件共涉及我国境内3,669台反射服务器,境外33,385台反射服务器。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,黑龙江省占的比例最大,占13.5%,其次是河南省、北京市和河北省;按归属运营商统计,联通占的比例最大,占44.1%,电信占比40.4%,移动占比11.3%,如图9所示。

图9本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占12.9%,其次是美国、土耳其和中国台湾,如图10所示。

图10本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于新疆维吾尔族自治区和吉林省的地址最多。

表6本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30

反射服务器地址归属省份归属运营商
60.X.X.134河北省联通
122.X.X.170江苏省联通
221.X.X.37河南省移动
220.X.X.54安徽省联通
119.X.X.37四川省联通
111.X.X.30贵州省联通
61.X.X.59河南省联通
202.X.X.70新疆维吾尔族自治区电信
60.X.X.118新疆维吾尔族自治区联通
218.X.X.14山东省联通
120.X.X.16浙江省移动
218.X.X.126广西省电信
61.X.X.24北京市联通
125.X.X.194吉林省联通
122.X.X.53浙江省电信
119.X.X.3四川省联通
119.X.X.198吉林省联通
221.X.X.10黑龙江省联通
60.X.X.12新疆维吾尔族自治区联通
60.X.X.158黑龙江省联通
202.X.X.14吉林省联通
117.X.X.61天津市联通
60.X.X.126新疆维吾尔族自治区联通
122.X.X.4吉林省联通
123.X.X.82北京市联通
60.X.X.158新疆维吾尔族自治区联通
124.X.X.22北京市联通
220.X.X.210广西省电信
203.X.X.100湖南省联通
61.X.X.174山东省联通

3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年3月,SSDP反射攻击事件共涉及境内1,891,940台反射服务器,境外67,011台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占25.0%,其次是辽宁省、河北省和浙江省;按归属运营商统计,联通占的比例最大,占73.7%,电信占比23.8%,移动占比2.3%,如图11所示。

图11本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占23.5%,其次是美国、土耳其和加拿大,如图12所示。

图12本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表7所示,地址大量位于黑龙江省。

表7本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址归属省份归属运营商
219.X.X.198黑龙江省电信
222.X.X.90黑龙江省电信
112.X.X.26黑龙江省电信
222.X.X.16黑龙江省电信
222.X.X.34黑龙江省电信
112.X.X.49黑龙江省电信
222.X.X.178黑龙江省电信
111.X.X.75黑龙江省移动
219.X.X.94黑龙江省电信
222.X.X.169黑龙江省电信
123.X.X.162黑龙江省电信
111.X.X.199黑龙江省移动
222.X.X.3黑龙江省电信
111.X.X.2黑龙江省移动
111.X.X.123黑龙江省移动
112.X.X.214黑龙江省电信
111.X.X.8黑龙江省移动
111.X.X.15黑龙江省移动
111.X.X.118黑龙江省移动
112.X.X.55黑龙江省电信
111.X.X.75黑龙江省移动
111.X.X.6黑龙江省移动
112.X.X.158黑龙江省电信
111.X.X.40黑龙江省移动
123.X.X.50黑龙江省电信
117.X.X.196新疆维吾尔族自治区移动
117.X.X.109广西壮族自治区移动
111.X.X.29广西壮族自治区移动
125.X.X.218青海省电信
124.X.X.210西藏自治区电信

(2)反射攻击发起流量来源路由器

2018年3月,境内反射攻击事件的发起流量主要来源于1383个路由器,根据参与攻击事件的数量统计,归属于内蒙古自治区联通(218.X.X.248、218.X.X.253、218.X.X.240)的路由器涉及的攻击事件最多,其次是归属于上海市联通(112.X.X.39)的路由器,如表8所示。

表8本月反射攻击事件的发起流量来源路由器按事件数量TOP25

反射攻击发起流量来源路由器所属省份所属运营商
218.X.X.248内蒙古自治区联通
218.X.X.253内蒙古自治区联通
218.X.X.240内蒙古自治区联通
112.X.X.39上海市联通
211.X.X.205上海市移动
211.X.X.203上海市移动
218.X.X.225广西壮族自治区移动
221.X.X.253广东省联通
202.X.X.21上海市电信
221.X.X.254广东省联通
218.X.X.254黑龙江省移动
202.X.X.23上海市电信
211.X.X.3浙江省移动
218.X.X.255黑龙江省移动
211.X.X.1海南省移动
124.X.X.21浙江省联通
124.X.X.22浙江省联通
113.X.X.254广东省电信
113.X.X.253广东省电信
218.X.X.251陕西省电信
202.X.X.181黑龙江省电信
221.X.X.1天津市电信
202.X.X.180黑龙江省电信
221.X.X.2天津市电信
220.X.X.127浙江省电信

根据发起反射攻击流量的来源路由器数量按省份统计,广东省占的比例最大,占21.8%,其次是浙江省、北京市和上海市;发起反射攻击流量的来源路由器数量按归属运营商统计,移动占的比例最大,占35.5%,电信占比29.9%,联通占比13.1%,如图13所示。

图13本月发起反射攻击流量的来源路由器数量按省份和运营商分布

声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。