本月重点关注情况

1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端近一半位于美国;境内控制端最多位于北京市,其次是浙江省、河南省和贵州省,按归属运营商统计,电信占的比例最大。

2、本月参与攻击较多的肉鸡地址主要位于北京市、贵州省、四川省和云南省,其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中,位于山东省、上海市、广东省占的比例最大。

3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是山东省、广东省和北京市,数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是广东省、山东省和甘肃省;数量最多的归属运营商是移动。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、江苏省和河南省;数量最多的归属运营商是联通。

4、本月转发伪造跨域攻击流量的路由器中,归属于新疆维吾尔自治区移动的某路由器参与的攻击事件数量最多;北京市、江苏省和山东省的跨域伪造来源路由器数量最多。

5、本月转发伪造本地攻击流量的路由器中,归属于山西省电信的某路由器参与的攻击事件数量最多;江苏省、山西省、陕西省和广东省的本地伪造流量来源路由器数量最多。

6、经过半年来针对我国境内的攻击资源的专项治理工作,境内控制端、肉鸡等资源的月活跃数量较2017年有了较明显的下降趋势;境内控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源近三个月每月的新增率、消亡率相比2017年月度平均数值有一定程度的上升,意味着资源变化速度加快,可被利用的资源稳定性降低;境内反射服务器资源每月的新增率、消亡率相比2017年月度平均数值,新增率变化不明显、消亡率呈现一定程度的下降,意味着可利用的资源数量逐步减少。

攻击资源定义

本报告为2018年6月份的DDoS攻击资源月度分析及半年治理情况分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、  控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、  肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、  反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、  跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、  本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源月度分析

1.控制端资源分析

根据CNCERT抽样监测数据,2018年6月,利用肉鸡发起DDoS攻击的控制端有277个,其中,28个控制端位于我国境内,249个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占42.6%,其次是法国和中国香港,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区

位于境内的控制端按省份统计,北京市占的比例最大,占28.6%,其次是浙江省、河南省和贵州省;按运营商统计,电信占的比例最大,占53.6%,联通占14.3%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于江苏省和浙江省。

表1 本月发起攻击最多的境内控制端TOP20

控制端地址归属省份归属运营商或云服务商
123.X.X.143贵州省电信
222.X.X.88江苏省电信
123.X.X.28贵州省电信
118.X.X.50广东省电信
115.X.X.105浙江省电信
42.X.X.152河南省联通
14.X.X.241广东省电信
114.X.X.150北京市电信
139.X.X.51上海市阿里云
61.X.X.112江苏省电信
119.X.X.73山东省联通
42.X.X.198河南省联通
123.X.X.85贵州省电信
42.X.X.193河南省联通
118.X.X.246辽宁省腾讯云
122.X.X.165浙江省电信
115.X.X.74浙江省电信
115.X.X.191浙江省电信
182.X.X.227上海市腾讯云
114.X.X.239北京市电信

2018年1月至今监测到的控制端中,4.7%的控制端在本月仍处于活跃状态,共计69个,其中位于我国境内的控制端数量为33个,位于境外的控制端数量为36个。持续活跃的境内控制端及归属如表2所示。

表2 2018年以来持续活跃发起DDOS攻击的境内控制端

控制端地址归属省份归属运营商
14.X.X.173云南省联通
211.X.X.156湖北省联通
218.X.X.30黑龙江省联通
121.X.X.62浙江省电信
42.X.X.104辽宁省联通
113.X.X.35广东省电信
115.X.X.39浙江省电信
220.X.X.164天津市联通
123.X.X.169山东省联通
61.X.X.60河南省联通
117.X.X.110陕西省电信
183.X.X.75浙江省电信
183.X.X.19浙江省电信
139.X.X.174吉林省联通
115.X.X.206浙江省电信
117.X.X.199陕西省电信
222.X.X.48江苏省电信
111.X.X.158北京市联通
27.X.X.34山东省联通
111.X.X.159北京市联通
123.X.X.153山东省联通
117.X.X.112江西省电信
101.X.X.195北京市电信
61.X.X.89河南省联通
111.X.X.196江西省电信
117.X.X.207陕西省电信
117.X.X.107江西省电信
113.X.X.149重庆市联通
175.X.X.203湖南省电信
121.X.X.108河北省联通
61.X.X.201江苏省电信
183.X.X.41浙江省电信
183.X.X.35浙江省电信

2018年1月至今持续活跃的境内控制端按省份统计,浙江省所占比例最大,为21.2%;按运营商统计,电信占的比例最大,为54.5%,联通占45.5%,如图3所示。

图3 2018年以来持续活跃发起DDoS攻击的境内控制端数量按省份和运营商分布

2.肉鸡资源分析

根据CNCERT抽样监测数据,2018年6月,共有117,690个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些肉鸡资源按省份统计,北京市占的比例最大,为7.9%,其次是贵州省、四川省和云南省;按运营商统计,电信占的比例最大,为54.0%,联通占25.7%,移动占17.5%,如图4所示。

图4 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于山西省的地址最多。

表3 本月参与攻击最多的肉鸡地址TOP20

肉鸡地址归属省份归属运营商
58.X.X.148山东省电信
124.X.X.2山西省联通
123.X.X.32内蒙古自治区电信
122.X.X.199河南省联通
183.X.X.66山西省移动
111.X.X.2山西省移动
58.X.X.12山东省电信
60.X.X.211山西省联通
106.X.X.223新疆维吾尔族自治区电信
124.X.X.2河南省联通
118.X.X.101四川省电信
112.X.X.146安徽省联通
111.X.X.53吉林省移动
114.X.X.253北京市待确认
116.X.X.243河南省联通
125.X.X.214北京市联通
119.X.X.110宁夏回族自治区电信
39.X.X.51江西省移动
61.X.X.114河南省联通
114.X.X.11北京市联通

2018年1月至今监测到的肉鸡资源中,共计14,451个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为11,620个,位于境外的肉鸡数量为2,831个。2018年1月至今被持续利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示,位于山西省的地址最多。

表4 2018年以来被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址

肉鸡地址归属省份归属运营商
58.X.X.148山东省电信
124.X.X.2山西省联通
123.X.X.32内蒙古自治区电信
122.X.X.199河南省联通
183.X.X.66山西省移动
111.X.X.2山西省移动
60.X.X.211山西省联通
106.X.X.223新疆维吾尔族自治区电信
124.X.X.2河南省联通
118.X.X.101四川省电信
112.X.X.146安徽省联通
111.X.X.53吉林省移动
114.X.X.253北京市待确认
116.X.X.243河南省联通
39.X.X.51江西省移动
61.X.X.114河南省联通
114.X.X.11北京市联通
183.X.X.15北京市待确认
122.X.X.13河南省电信
61.X.X.28甘肃省电信

2018年1月至今持续活跃的境内肉鸡资源按省份统计,浙江省占的比例最大,占11.6%,其次是山东省、四川省和广东省;按运营商统计,电信占的比例最大,占63.1%,联通占15.2%,移动占12.4%,如图5所示。

图5 2018年以来持续活跃的肉鸡数量按省份和运营商分布

3.反射攻击资源分析

根据CNCERT抽样监测数据,2018年6月,利用反射服务器发起的三类重点反射攻击共涉及3,689,197台反射服务器,其中境内反射服务器3,451,932台,境外反射服务器237,265台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有16,055台,占比0.4%,其中境内反射服务器13,410台,境外反射服务器2,645台;利用NTP反射发起反射攻击的反射服务器有772,835台,占比20.9%,其中境内反射服务器754,496台,境外反射服务器18,339台;利用SSDP反射发起反射攻击的反射服务器有2,900,307台,占比78.6%,其中境内反射服务器2,684,026台,境外反射服务器216,281台。

(1)Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年6月,利用Memcached服务器实施反射攻击的事件共涉及境内13,410台反射服务器,境外2,645台反射服务器。

本月境内反射服务器数量按省份统计,山东省占的比例最大,占15.3%,其次是广东省、北京市和浙江省;按归属运营商或云服务商统计,电信占的比例最大,占36.7%,移动占比25.9%,联通占比20.6%,阿里云占比8.4%,如图6所示。

图6 本月境内Memcached反射服务器数量按省份、运营商或云服务商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占37.5%,其次是中国香港、加拿大和法国,如图7所示。

图7 本月境外反射服务器数量按国家或地区分布

本月境内发起反射攻击事件数量TOP100中目前仍存活的memcached服务器及归属如表5所示,位于北京市和河南省的地址最多。

表5 本月境内发起反射攻击事件数量TOP100中仍存活的Memcached服务器TOP30

反射服务器地址归属省份归属运营商或云服务商
106.X.X.51北京市电信
122.X.X.232河南省联通
122.X.X.38河南省联通
58.X.X.166山东省电信
116.X.X.114河南省联通
123.X.X.118北京市阿里云
116.X.X.206河南省联通
116.X.X.102河南省联通
116.X.X.195河南省联通
101.X.X.82北京市阿里云
101.X.X.42北京市阿里云
182.X.X.107北京市阿里云
116.X.X.252河南省联通
123.X.X.151北京市阿里云
123.X.X.195北京市阿里云
119.X.X.93北京市电信
116.X.X.34河南省联通
123.X.X.233北京市阿里云
202.X.X.240新疆维吾尔族自治区电信
122.X.X.188山东省电信
117.X.X.92陕西省电信
101.X.X.97北京市阿里云
119.X.X.156北京市电信
119.X.X.137北京市电信
117.X.X.58河南省移动
120.X.X.23安徽省移动
122.X.X.100河南省联通
123.X.X.237北京市阿里云
116.X.X.233云南省电信

近两月至今被利用发起攻击的Memcached反射服务器中,共计4,215个在本月仍处于活跃状态,其中2,718个位于境内,1,497个位于境外。近两月至今被持续利用发起攻击的Memcached反射服务器按省份统计,广东省占的比例最大,占18.7%,其次是北京市、浙江省、和山东省;按运营商或云服务商统计,电信占的比例最大,占30.5%,阿里云占28.0%,联通占14.3%,移动占11.1%,如图8所示。

图8 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商或云服务商分布

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年6月,NTP反射攻击事件共涉及我国境内754,496台反射服务器,境外18,339台反射服务器。被利用发起攻击的NTP反射服务器总量较上月有一定数量的回落。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,广东省占的比例最大,占15.6%,其次是山东省、甘肃省和江苏省;按归属运营商统计,移动占的比例最大,占39.9%,电信占比39.4%,联通占比19.1%,如图9所示。

图9 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,澳大利亚占的比例最大,占76.1%,其次是美国、巴基斯坦和印度,如图10所示。

图10 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP25及归属如表6所示,位于山东省和宁夏回族自治区的地址最多。

表6 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP25

反射服务器地址归属省份归属运营商
58.X.X.44贵州省联通
111.X.X.208山西省移动
222.X.X.199宁夏回族自治区电信
111.X.X.203湖南省移动
112.X.X.253山东省移动
112.X.X.251山东省移动
119.X.X.174宁夏回族自治区电信
218.X.X.38宁夏回族自治区电信
111.X.X.116山东省移动
61.X.X.190宁夏回族自治区电信
111.X.X.168山东省移动
112.X.X.202山东省移动
218.X.X.130宁夏回族自治区电信
14.X.X.143宁夏回族自治区电信
120.X.X.162山东省移动
112.X.X.75山东省移动
111.X.X.204湖南省移动
123.X.X.126内蒙古自治区电信
111.X.X.234山西省移动
218.X.X.10宁夏回族自治区电信
223.X.X.173山东省移动
211.X.X.188山西省移动
222.X.X.131河南省电信
111.X.X.88山东省移动
223.X.X.82山东省移动

近两月被持续利用发起攻击的NTP反射服务器中,共计27,539个在本月仍处于活跃状态,其中26,063个位于境内,1,476个位于境外。近两月持续活跃的NTP反射服务器按省份统计,河南省占的比例最大,占36.1%,其次是宁夏回族自治区、湖北省和湖南省;按运营商统计,电信占的比例最大,占44.3%,移动占24.3%,联通占19.9%,如图11所示。

图11 近两月被持续利用发起攻击的NTP反射服务器数量按省份运营商分布

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年6月,SSDP反射攻击事件共涉及境内2,684,026台反射服务器,境外216,281台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占17.3%,其次是江苏省、河南省和浙江省;按归属运营商统计,联通占的比例最大,占54.9%,电信占比41.4%,移动占比3.3%,如图12所示。

图12 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,美国占的比例最大,占30.9%,其次是中国台湾、加拿大和韩国,如图13所示。

图13 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP20的反射服务器及归属如表7所示,位于云南省和山东省的地址最多。

表7 本月境内被利用发起SSDP反射攻击事件数量中排名TOP20的反射服务器

反射服务器地址归属省份归属运营商
218.X.X.185云南省电信
111.X.X.12黑龙江省移动
113.X.X.14广西壮族自治区电信
202.X.X.51贵州省电信
222.X.X.6山东省电信
218.X.X.186云南省电信
222.X.X.6山东省电信
183.X.X.56湖南省移动
61.X.X.6宁夏回族自治区电信
221.X.X.8四川省电信
106.X.X.14内蒙古自治区电信
116.X.X.15云南省电信
58.X.X.142山东省电信
218.X.X.18云南省电信
218.X.X.62宁夏回族自治区电信
222.X.X.54山东省电信
222.X.X.10重庆市电信
220.X.X.102湖南省电信
222.X.X.22宁夏回族自治区电信
111.X.X.11黑龙江省移动

近两月被持续利用发起攻击的SSDP反射服务器中,共计423,548个在本月仍处于活跃状态,其中297,805个位于境内,125,743个位于境外。近两月持续活跃的SSDP反射服务器按省份统计,辽宁省占的比例最大,占36.1%,其次是吉林省、广东省和河北省;按运营商统计,联通占的比例最大,占65.7%,电信占29.3%,移动占4.4%,如图14所示。

图14 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布

(4)发起伪造流量的路由器分析

1. 跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2018年6月,通过跨域伪造流量发起攻击的流量来源于193个路由器。根据参与攻击事件的数量统计,归属于新疆维吾尔自治区移动的路由器(221.X.X.5、221.X.X.9)和北京电信的路由器(219.X.X.70)参与的攻击事件数量最多,如表8所示。

表8 本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量来源路由器归属省份归属运营商
221.X.X.5新疆维吾尔族自治区移动
221.X.X.9新疆维吾尔族自治区移动
219.X.X.70北京市电信
221.X.X.6新疆维吾尔族自治区移动
118.X.X.169四川省电信
113.X.X.253湖北省联通
113.X.X.252湖北省联通
61.X.X.25浙江省电信
219.X.X.30北京市电信
211.X.X.48云南省移动
211.X.X.43贵州省移动
222.X.X.200山东省电信
218.X.X.101内蒙古自治区联通
118.X.X.168四川省电信
222.X.X.201山东省电信
220.X.X.235浙江省电信
221.X.X.254江苏省联通
221.X.X.246江苏省联通
220.X.X.236浙江省电信
124.X.X.250上海市电信
202.X.X.223河北省联通
202.X.X.224河北省联通
61.X.X.184吉林省联通
61.X.X.185吉林省联通
219.X.X.144北京市电信

跨域伪造流量涉及路由器按省份分布统计,北京市占的比例最大,占12.4%,其次是江苏省和山东省;按路由器所属运营商统计,联通占的比例最大,占37.3%,电信占比31.6%,移动占比31.1%,如图15所示。

图15 跨域伪造流量来源路由器数量按省份和运营商分布

2. 本地伪造流量来源路由器

根据CNCERT抽样监测数据,2018年6月,通过本地伪造流量发起攻击的流量来源于395个路由器。根据参与攻击事件的数量统计,归属于山西省电信的路由器(219.X.X.2、219.X.X.10)参与的攻击事件数量最多,其次是归属于山东省电信的路由器(150.X.X.1、150.X.X.2),如表9所示。

表9 本月参与攻击最多的本地伪造流量来源路由器TOP25

本地伪造流量来源路由器归属省份归属运营商
219.X.X.2山西省电信
219.X.X.10山西省电信
150.X.X.1山东省电信
150.X.X.2山东省电信
118.X.X.169四川省电信
218.X.X.177贵州省移动
218.X.X.176贵州省移动
202.X.X.141山西省电信
220.X.X.253北京市电信
220.X.X.243北京市电信
202.X.X.143山西省电信
220.X.X.127浙江省电信
211.X.X.20贵州省移动
211.X.X.19贵州省移动
222.X.X.122福建省电信
222.X.X.121福建省电信
220.X.X.126浙江省电信
123.X.X.2内蒙古自治区电信
218.X.X.130四川省电信
202.X.X.167山东省电信
218.X.X.162四川省电信
221.X.X.233宁夏回族自治区联通
112.X.X.2云南省电信
61.X.X.1四川省电信
211.X.X.10贵州省移动

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占11.1%,其次是山西省、陕西省和广东省;按路由器所属运营商统计,电信占的比例最大,占45.3%,移动占比30.9%,联通占比23.0%,如图16所示。

图16 本地伪造流量来源路由器数量按省份和运营商分布

近半年我国境内攻击资源活跃及治理情况分析

2018年以来,CNCERT组织各省分中心,联合各地运营商、云服务商等对我国境内的攻击资源进行了专项治理。经过半年以来的资源治理工作,综合境内各类攻击资源的变化趋势,我们分析发现控制端、肉鸡等资源的月活跃数量较2017年有了较明显的下降趋势;控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源近三个月每月的新增率、消亡率相比2017年月度平均数值有一定程度的上升,意味着资源变化速度加快,可被利用的资源稳定性降低;反射服务器资源近三个月每月的新增率、消亡率相比2017年月度平均数值,新增率不变、消亡率呈现一定程度的下降,意味着可利用的资源数量逐步减少。资源的具体变化趋势如下:

1.我国境内攻击资源活跃情况分析

1、控制端资源

近三个月以来,利用肉鸡发起DDoS攻击的境内控制端平均每月数量为40个,较2017年平均每月数量相比下降44%。境内控制端资源每月的新增率为81%,消亡率为83%,与2017年平均每月70%的新增率和71%的消亡率相比,资源变化速度加快,可被利用的稳定性降低。其中,只有1个位于上海的境内控制端(182.X.X.227)在近三个月甚至半年内持续活跃。

2、肉鸡资源

近三个月以来,被利用发起DDoS攻击的境内肉鸡平均每月数量为103,970个,与2017年平均每月数量相比下降近50%。境内肉鸡资源每月的新增率为87%,消亡率为88%,与2017年平均每月的新增率和的消亡率相比无明显变化;存在3,209个肉鸡在近三个月内持续活跃,其所属省份和运营商分布如图17所示,主要位于浙江省、广东省和山西省,电信占的比例最大。其中,存在78个境内肉鸡历史活跃月度超过12个月。

图17近三个月内持续活跃的境内肉鸡数量按省份和运营商分布

3、反射服务器资源

近三个月以来,利用境内服务器、主机等设施发起DDoS反射攻击的反射服务器平均数量为2,812,943个。境内反射服务器资源每月的新增率为81%,消亡率为84%,与2017年平均每月的85%新增率和的71%消亡率相比,消亡率呈现增快趋势;存在75,777个反射服务器在近三个月内持续活跃,其所属省份和运营商分布如图18所示,主要位于辽宁省、广东省和吉林省,联通占的比例最大。其中,存在85个境内反射服务器历史活跃月度超过12个月。

图18近三个月内持续活跃的反射服务器数量按省份和运营商分析

4、跨域伪造流量来源路由器资源

近三个月以来,被利用转发跨域伪造攻击流量的境内运营商路由器平均数量为177个;境内跨域伪造流量来源路由器资源每月的新增率为33%,消亡率为29%,与2017年平均每月22%的新增率和20%的消亡率相比,资源变化速度加快,可被利用的稳定性降低;存在72个跨域伪造流量来源路由器在近三个月内持续活跃,其所属省份和运营商分布如图19所示,主要位于广东省、上海市和四川省,电信所占的比例最大。其中,存在9个历史活跃月度超过12个月,详细信息如表10所示。

图19近三个月内持续活跃的跨域伪造流量来源路由器数量按省份和运营商分布

表10 近两年历史活跃月度超过12个月的跨域流量来源路由器信息

跨域伪造来源路由器历史活跃月份所属省份所属运营商
61.X.X.2513浙江电信
219.X.X.3014北京电信
218.X.X.25413山东联通
180.X.X.213北京电信
218.X.X.25413山东联通
221.X.X.214天津电信
221.X.X.114天津电信
221.X.X.25414广东联通
219.X.X.7014北京电信

5、本地伪造流量来源路由器资源

近三个月以来,被利用转发伪造本区域攻击流量的境内运营商路由器平均数量为440个;境内本地伪造流量来源路由器资源每月的新增率为23%,消亡率为29%,与2017年平均每月14%的新增率和13%的消亡率相比,资源变化速度有较明显的加快,可被利用的稳定性降低;存在174个本地伪造流量来源路由器在近三个月内持续活跃,其所属省份和运营商分布如图20所示,主要位于江苏省、浙江省和广东省,电信占的比例最大。其中,有20个路由器历史活跃月度超过12个月,如表11所示。

图20近三个月内持续活跃的本地伪造流量来源路由器数量按省份和运营商分布

表11 近两年历史活跃月度超过12个月的跨域流量来源路由器信息

本地伪造来源路由器历史活跃月度所属省份所属运营商
124.X.X.114山西联通
124.X.X.214山西联通
218.X.X.10113河北移动
220.X.X.24313北京电信
202.X.X.15913江西电信
202.X.X.15513福建电信
202.X.X.15613江西电信
202.X.X.15713江西电信
202.X.X.15813江西电信
202.X.X.15113福建电信
202.X.X.15413福建电信
202.X.X.15013福建电信
220.X.X.25313北京电信
222.X.X.12213福建电信
222.X.X.12113福建电信
61.X.X.2613浙江电信
219.X.X.113山西电信
61.X.X.813浙江电信
61.X.X.413浙江电信
220.X.X.5913江西电信

2.近半年各省治理情况分析

近半年来,各省份资源数量排名变化情况如图21至图25所示,图中纵轴为省份,横轴为排名。红色的点表示各省攻击数量在某月的排名情况,月份越临近,点越大;月份越久远,点越小。例如,最小的点代表的是2017年全年各省资源数量排名;最大的点代表的是2018年6月的资源数量排名。

图中体现的排名变化存在以下情况:(1)红点如从左至右由小变大,则表明资源排名相较好转,治理效果较明显;(2)红点从左至右由大变小,表明资源排名相较无好转或恶化;(3)红点持续位于左侧,表明资源数量排名一直位于前列;(4)红点持续位于右侧,表明资源数量排在后部;(5)图中未出现的省份,表明2017年以来未在该省发现过此类活跃攻击资源。

1、控制端资源

2017年以来,共监测发现我国境内535个曾经发起较大规模DDoS攻击的控制端资源,主要位于我国境内20个省市,未发现位于甘肃、河北、吉林、内蒙古、宁夏、青海、山东、山西、西藏、新疆等省市的控制端。

各省市控制端资源数量的月度排名变化情况如图21所示。从图中可以看出,陕西、天津、湖北、黑龙江、广西、重庆、湖南等省市的控制端资源排名普遍排在后部,或是近期无存活;福建、广东、江苏、上海等省市的控制端资源排名相较有一定的好转;北京、浙江、贵州等省市的控制端资源排名情况相较无好转、或存在一定恶化。

图21 近半年境内控制端所属省份排名情况变化趋势

2、肉鸡资源

2017年以来,共监测发现我国境内1,700,146个曾经被利用发起较大规模DDoS攻击的肉鸡资源。

各省市肉鸡资源数量的月度排名变化情况如图22所示。从图中可以看出,青海、宁夏、西藏、甘肃、海南、内蒙古、广西、天津等省市的肉鸡资源排名普遍排在后部,或是近期无存活;湖南、湖北、江西、新疆、重庆等省市的肉鸡资源排名相较有一定的好转;广东、上海、山东、江苏、浙江、山西等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;北京、四川、黑龙江、河北、贵州、河南等省市的肉鸡资源排名情况相较无好转、或存在一定恶化。

图22 近半年境内肉鸡所属省份排名情况变化趋势

3、反射服务器资源

2017年以来,共监测发现我国境内11,199,098个曾经被利用发起DDoS反射攻击的反射服务器资源。

各省市反射服务器资源数量的月度排名变化情况如图23所示。从图中可以看出,西藏、海南、广西、青海、甘肃、云南、上海等省市的反射服务器资源排名普遍排在后部,或是近期无存活;四川、天津、宁夏、贵州、湖北、福建、北京、新疆等省市的反射服务器资源排名相较有一定的好转;山西、黑龙江、吉林、河北、山东等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;辽宁、广东、江苏、内蒙古、河南、浙江、重庆、安徽、湖南等省市的反射服务器资源排名情况相较无好转、或存在一定恶化。

图23 近半年境内反射服务器所属省份排名情况变化趋势

4、跨域伪造流量来源路由器资源

2017年以来,共监测发现我国境内580个曾经被利用转发跨域伪造攻击流量的运营商路由器。主要位于28个省市,未发现位于宁夏、西藏等省市的转发跨域伪造攻击流量的运营商路由器。

各省市跨域伪造流量来源路由器资源数量的月度排名变化情况如图24所示。从图中可以看出,青海、黑龙江、重庆、陕西、山西等省市的被利用资源数量排名普遍排在后部,或是近期无存活;江西、福建、辽宁、河南、河北、甘肃等省市的被利用资源数量排名相较有一定的好转;广东、浙江、上海等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;北京、江苏、山东、贵州、安徽、内蒙古、湖南、新疆等省市的被利用资源数量排名情况相较无好转、或存在一定恶化。

图24近半年境内跨域伪造流量来源路由器归属省份排名情况变化趋势

5、本地伪造来源路由器资源

2017年以来,共监测发现我国境内1,081个曾经被利用转发本区域伪造攻击流量的运营商路由器。

各省市本地伪造流量来源路由器资源数量的月度排名变化情况如图25所示。从图中可以看出,青海、西藏、海南、天津、内蒙古、重庆、广西、甘肃、吉林、黑龙江等省市的被利用资源数量排名普遍排在后部,或是近期无存活;安徽、上海、四川、湖北、辽宁、云南、江西、新疆等省市的被利用资源数量排名相较有一定的好转;贵州、浙江等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;江苏、北京、广东、陕西、湖南、山西、山东、河北、河南等省市的被利用资源数量排名情况相较无好转、或存在一定恶化。

图25 近半年境内本地伪造流量来源路由器归属省份排名情况变化趋势

声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。