反射重庆服务器

我国DDoS攻击资源分析报告(2020年第1季度)国家计算机网络应急技术处理协调中心2020年5月CNCERT我国DDoS攻击资源分析报告(2020年第1季度)2/20目录一、引言3(一)攻击资源定义3(二)本季度重点关注情况.
4二、DDoS攻击资源分析5(一)控制端资源分析.
5(二)肉鸡资源分析7(三)反射攻击资源分析.
10(1)Memcached反射服务器资源10(2)NTP反射服务器资源.
12(3)SSDP反射服务器资源.
15(四)转发伪造流量的路由器分析17(1)跨域伪造流量来源路由器.
17(2)本地伪造流量来源路由器.
19CNCERTCNCERT我国DDoS攻击资源分析报告(2020年第1季度)3/20一、引言(一)攻击资源定义本报告为2020年第1季度的DDoS攻击资源分析报告.
围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对"DDoS攻击是从哪些网络资源上发起的"这个问题进行分析.
主要分析的攻击资源包括:1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端.
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点.
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源.
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器.
由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备.
CNCERT我国DDoS攻击资源分析报告(2020年第1季度)4/205、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器.
说明该路由器下的网络中存在发动DDoS攻击的设备.
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时.
如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击.
此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到.
(二)本季度重点关注情况1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、荷兰和德国;境内控制端按省份统计,最多位于江苏省、上海市和北京市,按归属运营商统计,电信占比最大.
2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于江苏省、广东省和浙江省;按归属运营商统计,电信占比最大.
3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、湖南省、和广西省;数量最多的归属运营商是电信.
被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的CNCERT我国DDoS攻击资源分析报告(2020年第1季度)5/20省份是河北省、湖北省和河南省;数量最多的归属运营商是联通.
被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是辽宁省、浙江省和广东省;数量最多的归属运营商是联通.
4、本季度转发伪造跨域攻击流量的路由器中,位于浙江省、上海市和北京市的路由器数量最多.
本季度转发伪造本地攻击流量的路由器中,位于浙江省、四川省和江苏省的路由器数量最多.
二、DDoS攻击资源分析(一)控制端资源分析2020年第1季度CNCERT/CC监测发现,利用肉鸡发起DDoS攻击的活跃控制端有1294个,其中境外控制端占比94.
4%、云平台控制端占比83.
9%,如图1所示,与2019年相比境外控制端占比进一步提高.
图12020年第1季度发起DDoS攻击的控制端数量境内外分布和云平台占比云83.
9%其他16.
1%控制端云平台占比境内5.
6%境外94.
4%控制端境内外分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)6/20位于境外的控制端按国家或地区统计,排名前三位的分别为美国(35.
4%)、荷兰(13.
8%)和德国(13.
3%),其中如图2所示.
图22020年第1季度发起DDoS攻击的境外控制端数量按国家或地区分布位于境内的控制端按省份统计,排名前三位的分别为江苏省(23.
6%)、上海市(20.
8%)和北京市(15.
3%);按运营商统计,电信占38.
8%,联通占32.
1%,移动占21.
6%,如图3所示.
图32020年第1季度发起DDoS攻击的境内控制端数量按省份和运营商分布发起攻击最多的境内控制端地址前二十名及归属如表1美国35.
4%荷兰13.
8%德国13.
3%英国4.
8%中国香港4.
7%加拿大3.
8%新加坡3.
3%俄罗斯2.
0%法国2.
0%其他16.
8%控制端境外分布电信38.
8%联通32.
1%移动21.
6%其他7.
5%控制端境内运营商分布江苏23.
6%上海20.
8%北京15.
3%浙江6.
9%广东5.
6%吉林5.
6%辽宁4.
2%河南4.
2%山东4.
2%其他9.
7%控制端境内分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)7/20所示,位于江苏省和上海市的地址最多.
表12020年第1季度发起攻击的境内控制端TOP20控制端地址归属省份归属运营商或云服务商180.
X.
X.
237江苏电信122.
X.
X.
163河南BGP多线61.
X.
X.
106江苏电信183.
X.
X.
217广东电信61.
X.
X.
121江苏电信111.
X.
X.
179安徽移动193.
X.
X.
99广东腾讯云180.
X.
X.
50江苏电信218.
X.
X.
64江苏电信125.
X.
X.
39广东电信122.
X.
X.
232上海华为云119.
X.
X.
92上海华为云119.
X.
X.
154上海华为云122.
X.
X.
98上海华为云122.
X.
X.
62上海华为云121.
X.
X.
197浙江阿里云222.
X.
X.
162江苏电信111.
X.
X.
16江苏BGP多线122.
X.
X.
228上海腾讯云49.
X.
X.
111上海腾讯云(二)肉鸡资源分析2020年第1季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡810081个,其中境内肉鸡占比91.
5%、云平台肉鸡占比2.
8%,如图4所示.
CNCERT我国DDoS攻击资源分析报告(2020年第1季度)8/20图42020年第1季度参与DDoS攻击的肉鸡数量境内外分布和云平台占比位于境外的肉鸡按国家或地区统计,排名前三位的分别为美国(19.
9%)、越南(7.
6%)和巴西(6.
2%),其中如图5所示.
图52020年第1季度参与DDoS攻击的境外肉鸡数量按国家或地区分布位于境内的肉鸡按省份统计,排名前三位的分别为江苏省(12.
6%)、广东省(10.
5%)和浙江省(9.
1%);按运营商统计,电信占54.
8%,联通占25.
9%,移动占9.
7%,如图6所示.
美国19.
9%越南7.
6%巴西6.
2%中国台湾5.
3%俄罗斯4.
3%中国香港4.
3%印度4.
1%日本3.
5%泰国3.
3%其他41.
4%肉鸡境外分布云2.
8%其他97.
2%肉鸡云平台占比境内91.
5%境外8.
5%肉鸡境内外分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)9/20图62020年第1季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布参与攻击最多的境内肉鸡地址前二十名及归属如表2所示,位于北京市的地址最多.
表22020年第1季度参与攻击最多的境内肉鸡地址TOP20肉鸡地址归属省份归属运营商111.
X.
X.
145北京联通39.
X.
X.
75广东阿里云101.
X.
X.
51上海360云39.
X.
X.
100北京阿里云124.
X.
X.
117北京BGP多线111.
X.
X.
131北京联通111.
X.
X.
139北京联通111.
X.
X.
124北京联通111.
X.
X.
93北京联通123.
X.
X.
121北京BGP多线111.
X.
X.
233北京联通111.
X.
X.
201北京联通36.
X.
X.
5北京电信111.
X.
X.
227北京联通154.
X.
X.
237北京腾讯云111.
X.
X.
195北京联通122.
X.
X.
52上海腾讯云118.
X.
X.
241重庆腾讯云94.
X.
X.
120重庆腾讯云122.
X.
X.
218上海腾讯云电信54.
8%联通25.
9%移动9.
7%其他9.
6%肉鸡境内运营商分布江苏12.
6%广东10.
5%浙江9.
1%山东7.
9%安徽7.
7%河南5.
1%江西5.
0%四川4.
8%辽宁4.
0%其他33.
3%肉鸡境内分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)10/20(三)反射攻击资源分析2020年第1季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器5379142台,其中境内反射服务器占比64.
7%,Memcached反射服务器占比3.
0%,NTP反射服务器占比41.
0%,SSDP反射服务器占比56.
0%.
(1)Memcached反射服务器资源Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击.
2020年第1季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器158855个,其中境内反射服务器占比97.
6%、云平台反射服务器占比2.
2%,如图7所示.
图72020年第1季度Memcached反射服务器数量境内外分布和云平台占比云2.
2%其他97.
8%反射服务器云平台占比境内97.
6%境外2.
4%反射服务器境内外分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)11/20位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(22.
7%)、中国香港(7.
1%)和法国(6.
9%),其中如图8所示.
图82020年第1季度境外Memcached反射服务器数量按国家或地区分布位于境内的反射服务器按省份统计,排名前三位的分别为广东省(14.
7%)、湖南省(7.
7%)和广西省(6.
9%);按运营商统计,电信占76.
7%,联通占14.
4%,移动占8.
4%,如图9所示.
图92020年第1季度境内Memcached反射服务器数量按省份和运营商分布被利用参与Memcached反射攻击最多的境内反射服务器美国22.
7%中国香港7.
1%法国6.
9%德国6.
4%俄罗斯4.
8%印度4.
1%日本4.
0%越南3.
6%加拿大3.
5%其他37.
0%反射服务器境外分布电信76.
7%移动14.
4%联通8.
4%其他0.
5%反射服务器境内运营商分布广东14.
7%湖南7.
7%广西6.
9%河北6.
0%山东5.
3%四川4.
9%甘肃4.
4%陕西3.
9%安徽3.
7%其他42.
4%反射服务器境内分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)12/20地址前二十名及归属如表3所示,位于上海市和北京市的地址最多.
表32020年第1季度被利用参与Memcached反射攻击最多的反射服务器地址Top20反射服务器地址归属省份归属运营商或云服务商58.
X.
X.
30广东联通210.
X.
X.
98北京联通120.
X.
X.
166上海移动120.
X.
X.
253上海金山云113.
X.
X.
112广东电信120.
X.
X.
112上海移动119.
X.
X.
93北京BGP多线121.
X.
X.
221广东BGP多线60.
X.
X.
82安徽电信117.
X.
X.
51甘肃移动106.
X.
X.
69北京百度云114.
X.
X.
60上海京东云139.
X.
X.
209上海阿里云221.
X.
X.
43黑龙江联通120.
X.
X.
175上海金山云123.
X.
X.
192北京联通122.
X.
X.
68浙江电信202.
X.
X.
85北京联通61.
X.
X.
141北京联通27.
X.
X.
166上海联通(2)NTP反射服务器资源NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击.
2020年第1季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器2207483个,其中境内反射服务器占比36.
CNCERT我国DDoS攻击资源分析报告(2020年第1季度)13/204%、云平台反射服务器占比1.
7%,如图10所示,与2019年相比境外反射服务器占比大幅度提高.
图102020年第1季度NTP反射服务器数量境内外分布和云平台占比位于境外的反射服务器按国家或地区统计,排名前三位的分别为越南(59.
5%)、巴西(11.
8%)和巴基斯坦(5.
2%),其中如图11所示.
图112020年第1季度境外NTP反射服务器数量按国家或地区分布位于境内的反射服务器按省份统计,排名前三位的分别为河北省(20.
3%)、湖北省(18.
3%)和河南省(10.
5%);按运营商统计,联通占51.
3%,电信占41.
5%,移动占7.
0%,如越南59.
5%巴西11.
8%巴基斯坦5.
2%委内瑞拉3.
9%乌克兰2.
6%美国2.
4%俄罗斯2.
3%印度1.
1%波兰0.
9%其他10.
2%反射服务器境外分布云1.
7%其他98.
3%反射服务器云平台占比境内36.
4%境外63.
6%反射服务器境内外分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)14/20图12所示.
图122020年第1季度境内NTP反射服务器数量按省份和运营商分布被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示,位于安徽省的地址最多.
表42020年第1季度被利用参与NTP反射攻击最多的反射服务器地址Top20反射服务器地址归属省份归属运营商112.
X.
X.
102安徽移动202.
X.
X.
52海南电信122.
X.
X.
5吉林联通122.
X.
X.
20吉林联通111.
X.
X.
217山西移动222.
X.
X.
3贵州电信222.
X.
X.
150湖南电信111.
X.
X.
7湖南移动211.
X.
X.
138山西移动220.
X.
X.
154海南电信203.
X.
X.
44辽宁电信120.
X.
X.
206安徽移动111.
X.
X.
71安徽移动111.
X.
X.
99安徽移动112.
X.
X.
80安徽移动111.
X.
X.
62宁夏电信111.
X.
X.
245山西移动220.
X.
X.
229云南电信202.
X.
X.
148贵州电信218.
X.
X.
102宁夏电信联通51.
3%电信41.
5%移动7.
0%其他0.
2%反射服务器境内运营商分布河北20.
3%湖北18.
3%河南10.
5%山西7.
3%山东7.
0%广东5.
4%浙江5.
3%辽宁4.
7%江苏2.
5%其他18.
7%反射服务器境内分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)15/20(3)SSDP反射服务器资源SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击.
2020年第1季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器3012804个,其中境内反射服务器占比83.
7%、云平台反射服务器占比0.
1%,如图13所示.
图132020年第1季度SSDP反射服务器数量境内外分布和云平台占比位于境外的反射服务器按国家或地区统计,排名前三位的分别为中国台湾(16.
6%)、俄罗斯(13.
0%)和加拿大(5.
5%),其中如图14所示.
云0.
1%其他99.
9%反射服务器云平台占比境内83.
7%境外16.
3%反射服务器境内外分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)16/20图142020年第1季度境外SSDP反射服务器数量按国家或地区分布位于境内的反射服务器按省份统计,排名前三位的分别为辽宁省(20.
7%)、浙江省(13.
0%)和广东省(10.
7%);按运营商统计,联通占60.
5%,电信占38.
0%,移动占0.
9%,如图15所示.
图152020年第1季度境内SSDP反射服务器数量按省份和运营商分布被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示,位于上海市的地址最多.
中国台湾16.
6%俄罗斯13.
0%加拿大5.
5%韩国5.
3%意大利5.
2%美国4.
9%巴西4.
3%乌克兰3.
7%日本3.
5%其他38.
0%反射服务器境外分布联通60.
5%电信38.
0%移动0.
9%其他0.
6%反射服务器境内运营商分布辽宁20.
7%浙江13.
0%广东10.
7%吉林9.
4%黑龙江6.
9%山西5.
2%江苏4.
6%北京3.
4%广西2.
9%其他23.
3%反射服务器境内分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)17/20表52020年第1季度被利用参与SSDP反射攻击最多的反射服务器地址Top20反射服务器地址归属省份归属运营商116.
X.
X.
98上海电信222.
X.
X.
245上海电信101.
X.
X.
206上海电信116.
X.
X.
140上海电信180.
X.
X.
167上海电信58.
X.
X.
110上海联通180.
X.
X.
10上海电信112.
X.
X.
118上海联通116.
X.
X.
222上海电信219.
X.
X.
146山西电信220.
X.
X.
155湖南电信220.
X.
X.
175安徽电信27.
X.
X.
62上海联通140.
X.
X.
166上海联通58.
X.
X.
66上海联通125.
X.
X.
73上海BGP多线220.
X.
X.
11湖南电信59.
X.
X.
242山西电信118.
X.
X.
118甘肃电信140.
X.
X.
174上海联通(四)转发伪造流量的路由器分析(1)跨域伪造流量来源路由器2020年第1季度CNCERT/CC监测发现,转发跨域伪造流量的路由器34个;按省份统计,排名前三位的分别为浙江省(26.
5%)、上海市(23.
5%)和北京市(20.
6%);按运营商统计,电信占76.
5%,联通占11.
8%,移动占11.
8%,如图16所示.
CNCERT我国DDoS攻击资源分析报告(2020年第1季度)18/20图16跨域伪造流量来源路由器数量按省份和运营商分布根据参与攻击事件的数量统计,参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示,位于上海市和北京市的地址最多.
表62020年第1季度参与攻击最多的跨域伪造流量来源路由器TOP20跨域伪造流量来源路由器归属省份归属运营商124.
X.
X.
1上海电信124.
X.
X.
250上海电信202.
X.
X.
23上海电信202.
X.
X.
24上海电信202.
X.
X.
21上海电信219.
X.
X.
70北京电信202.
X.
X.
17上海电信202.
X.
X.
223四川电信202.
X.
X.
222四川电信219.
X.
X.
30北京电信221.
X.
X.
253广东联通202.
X.
X.
60北京电信202.
X.
X.
61北京电信219.
X.
X.
144北京电信219.
X.
X.
45北京电信211.
X.
X.
8浙江移动211.
X.
X.
3浙江移动202.
X.
X.
241江苏电信221.
X.
X.
1天津电信202.
X.
X.
136浙江电信电信76.
5%联通11.
8%移动11.
8%跨域伪造流量来源路由器运营商分布浙江26.
5%上海23.
5%北京20.
6%天津8.
8%江苏5.
9%广东5.
9%四川5.
9%河北2.
9%跨域伪造流量来源路由器分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)19/20(2)本地伪造流量来源路由器2020年第1季度CNCERT/CC监测发现,转发本地伪造流量的路由器71个;按省份统计,排名前三位的分别为浙江省(19.
7%)、四川省(18.
3%)和江苏省(15.
5%);按运营商统计,移动占49.
3%,电信占43.
7%,联通占7.
0%,如图17所示.
图172020年第1季度本地伪造流量来源路由器数量按省份和运营商分布根据参与攻击事件的数量统计,参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示,位于浙江省和四川省的地址最多.
表72020年第1季度参与攻击最多的本地伪造流量来源路由器TOP20本地伪造流量来源路由器归属省份归属运营商220.
X.
X.
127浙江电信220.
X.
X.
126浙江电信202.
X.
X.
137浙江电信202.
X.
X.
136浙江电信218.
X.
X.
130四川电信218.
X.
X.
129四川电信202.
X.
X.
2四川电信118.
X.
X.
168四川电信移动49.
3%电信43.
7%联通7.
0%本地伪造流量来源路由器运营商分布浙江19.
7%四川18.
3%江苏15.
5%贵州7.
0%新疆4.
2%广西4.
2%云南2.
8%广东2.
8%黑龙江2.
8%其他22.
5%本地伪造流量来源路由器分布CNCERT我国DDoS攻击资源分析报告(2020年第1季度)20/20本地伪造流量来源路由器归属省份归属运营商118.
X.
X.
169四川电信61.
X.
X.
1四川电信202.
X.
X.
65四川电信61.
X.
X.
221浙江电信61.
X.
X.
220浙江电信61.
X.
X.
1浙江电信61.
X.
X.
1浙江电信61.
X.
X.
4浙江电信61.
X.
X.
8浙江电信202.
X.
X.
65四川电信202.
X.
X.
66四川电信211.
X.
X.
9贵州移动