攻击CNCERT-我国 DDoS 攻击资源月度分析报告（2019年4月）_行业资料_市场研究报告_综合_

我国DDoS攻击资源月度分析报告(2019年4月)

国家计算机网络应急技术处理协调中心

2019年4月

我国DDoS攻击资源月度分析报告2019年4月

目 录

一、 引言. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

一攻击资源定义. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3

二本月重点关注情况. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4

二、DDoS攻击资源分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

一控制端资源分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .5

二 肉鸡资源分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8

三反射攻击资源分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .10

四发起伪造流量的路由器分析. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

1.跨域伪造流量来源路由器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

2.本地伪造流量来源路由器. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22

2/24

我国DDoS攻击资源月度分析报告2019年4月

一、 引言

一攻击资源定义

本报告为2019年4月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题基于CNC E RT监测的D D oS攻击事件数据进行抽样分析重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括

1、控制端资源指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、 肉鸡资源指被控制端利用 向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源指能够被黑客利用发起反射攻击的服务器、主机等设施它们提供的网络服务中如果存在某些网络服务不需要进行认证并且具有放大效果又在互联网上大量部署如DNS服务器 NTP服务器等 它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器是指转发了大量任意伪造IP攻击流量的路由器。 由于我国要求运营商在接入网上进行源地址验证 因此跨域伪造流量的存在说明该路由器或其下路由器的源地址验证配置可能存在缺陷且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器是指转发了大量伪造本区

3/24

我国DDoS攻击资源月度分析报告2019年4月

域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中一次DDoS攻击事件是指在经验攻击周期内不同的攻击资源针对固定目标的单个DDoS攻击攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所

攻击但间隔为24小时或更多则该事件被认为是两次攻击。此外 DDoS攻击资源及攻击目标地址均指其IP地址它们的地理位置由它的IP地址定位得到。

二本月重点关注情况

1、本月利用肉鸡发起DDoS攻击的控制端中境外控制端最多位于美国境内控制端最多位于江苏省和广东省其次是浙江省、北京市和河南省按归属运营商统计 电信占的比例最大。

2、本月参与攻击较多的肉鸡地址主要位于上海市、北京市、广西壮族自治区和黑龙江省其中大量肉鸡地址归属于电信运营商。 2019年以来监测到的持续活跃的肉鸡资源中位于福建省、江苏省、浙江省和广东省占的比例最大。

3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、河南省、 四川省数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山

4/24

我国DDoS攻击资源月度分析报告2019年4月

东省、河北省和湖北省数量最多的归属运营商是联通。被利5/24

我国DDoS攻击资源月度分析报告2019年4月

用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河北省和河南省数量最多的归属运营商是联通。

4、本月转发伪造跨域攻击流量的路由器中归属于北京市电信的路由器参与的攻击事件数量最多 2019年以来被持续利用的跨域伪造流量来源路由器中归属于北京市、江苏省和天津市路由器数量最多。

5、本月转发伪造本地攻击流量的路由器中归属于浙江省电信的路由器参与的攻击事件数量最多 2019年以来被持续利用的本地伪造流量来源路由器中归属于浙江省、广东省北京市和安徽省路由器数量最多。

二、 DDoS攻击资源分析

一控制端资源分析

根据CNCERT抽样监测数据 2019年4月利用肉鸡发起DDoS攻击的控制端有338个其中 43个控制端位于我国境内 295个控制端位于境外。

位于境外的控制端按国家或地区分布美国占的比例最大占54.6%其次是中国香港和法国如图1所示。

6/24

我国DDoS攻击资源月度分析报告2019年4月

图1本月发起DDoS攻击的境外控制端数量按国家或地区分布TOP15

位于境内的控制端按省份统计江苏省和广东省占的比例最大各占20.9%其次是浙江省、北京市和河南省按运营商统计 电信占的比例最大 占67.4%联通占1 1.6%如图2所示。

图2本月发起DDoS攻击的境内控制端数量按省份和运营商分布

本月发起攻击最多的境内控制端前二十名及归属如表1所示主要位于广东省和浙江省。

7/24

我国DDoS攻击资源月度分析报告2019年4月

表1本月发起攻击最多的境内控制端TOP20

2019年至今监测到的控制端中 11.0%的控制端在本月仍处于活跃状态共计76个其中位于我国境内的控制端数量为7个位于境外的控制端数量为69个。持续活跃的境内控制端及归属如表2所示。

表2 2019年以来持续活跃发起DDOS攻击的境内控制端

我国DDoS攻击资源月度分析报告2019年4月

二 肉鸡资源分析

根据CNCERT抽样监测数据 2019年4月共有321,835个肉鸡地址参与真实地址攻击包含真实地址攻击与其它攻击的混合攻击 。

这些肉鸡资源按省份统计上海市占的比例最大 为1.9%其次是北京市、广西壮族自治区和黑龙江省按运营商统计 电信占的比例最大 为63.0%联通占22.0%移动占13.4%如图3所示。

图3本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表3所示位于新疆维吾尔自治区和甘肃省的地址最多。

表3本月参与攻击最多的肉鸡地址TOP20