扫码订阅《中国信息安全》杂志
权威刊物 重要平台 关键渠道
邮发代号 2-786
5月27日,国家互联网应急中心(CNCERT)发布了《我国DDoS攻击资源分析报告(2021年第1季度)》(下称“报告”)。报告围绕互联网环境威胁治理问题,基于CNCERT监测的DDos攻击事件数据进行抽样分析,重点对“DDos攻击是从哪些网络资源上发起的”这个问题,从控制端资源、肉鸡资源、反射攻击资源和转发伪造流量的路由器等四方面进行分析。
本季度重点关注情况
2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于江苏省、安徽省和浙江省;按归属运营商统计,电信占比最大。
3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、河北省和湖北省;数量最多的归属运营商是电信。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、广东省和辽宁省;数量最多的归属运营商是电信。
4、本季度转发伪造跨域攻击流量的路由器中,位于上海市、四川省和北京市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于江苏省、福建省和广东省的路由器数量最多。
攻击资源定义
本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
DDoS攻击资源分析
1
控制端资源分析
图1 2021年第1季度发起DDoS攻击的控制端数量境内外分布和云平台占比
图2 2021年第1季度发起DDoS攻击的境外控制端数量按国家或地区分布
图3 2021年第1季度发起DDoS攻击的境内控制端数量按省份和运营商分布
| 控制端地址 | 归属省份 | 归属运营商或云服务商 |
| 27.X.X.246 | 山东 | 联通 |
| 118.X.X.157 | 吉林 | 联通 |
| 42.X.X.166 | 河南 | BGP多线 |
| 116.X.X.28 | 湖北 | 电信 |
| 8.X.X.29 | 北京 | 阿里云 |
| 219.X.X.152 | 河南 | 联通 |
| 113.X.X.144 | 上海 | BGP多线 |
| 113.X.X.40 | 吉林 | 联通 |
| 113.X.X.245 | 吉林 | 联通 |
| 121.X.X.38 | 浙江 | 阿里云 |
| 118.X.X.88 | 四川 | 电信 |
| 119.X.X.33 | 山东 | 联通 |
| 61.X.X.199 | 江苏 | 电信 |
| 123.X.X.34 | 北京 | 阿里云 |
| 211.X.X.98 | 北京 | BGP多线 |
| 113.X.X.222 | 吉林 | 联通 |
| 111.X.X.212 | 江西 | 电信 |
| 27.X.X.246 | 山东 | 联通 |
| 118.X.X.157 | 吉林 | 联通 |
| 42.X.X.166 | 河南 | BGP多线 |
2
肉鸡资源分析
图4 2021年第1季度参与DDoS攻击的肉鸡数量境内外分布和云平台占比
图5 2021年第1季度参与DDoS攻击的境外肉鸡数量按国家或地区分布
图6 2021年第1季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布
表2 2021年第1季度参与攻击最多的境内肉鸡地址TOP20
| 肉鸡地址 | 归属省份 | 归属运营商 |
| 124.X.X.117 | 北京 | BGP多线 |
| 123.X.X.121 | 北京 | BGP多线 |
| 111.X.X.145 | 北京 | 联通 |
| 111.X.X.195 | 北京 | 联通 |
| 111.X.X.227 | 北京 | 联通 |
| 111.X.X.233 | 北京 | 联通 |
| 111.X.X.201 | 北京 | 联通 |
| 39.X.X.75 | 广东 | 阿里云 |
| 140.X.X.13 | 北京 | BGP多线 |
| 39.X.X.61 | 北京 | 阿里云 |
| 8.X.X.61 | 山东 | 阿里云 |
| 106.X.X.176 | 广东 | 电信 |
| 121.X.X.79 | 北京 | 电信 |
| 139.X.X.233 | 广东 | 电信 |
| 39.X.X.181 | 北京 | 阿里云 |
| 106.X.X.144 | 上海 | 阿里云 |
| 106.X.X.206 | 广东 | 电信 |
| 101.X.X.15 | 上海 | 阿里云 |
| 8.X.X.218 | 山东 | 阿里云 |
| 47.X.X.15 | 上海 | 阿里云 |
3
反射攻击资源分析
2021年第1季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器3343283台,其中境内反射服务器占比83.6%,Memcached反射服务器占比2.6%,NTP反射服务器占比18.2%,SSDP反射服务器占比79.2%。
(1)Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
2021年第1季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器88044个,其中境内反射服务器占比90.3%、云平台反射服务器占比8.8%,如图7所示。
图7 2021年第1季度Memcached反射服务器数量境内外分布和云平台占比
图8 2021年第1季度境外Memcached反射服务器数量按国家或地区分布
图9 2021年第1季度境内Memcached反射服务器数量按省份和运营商分布
| 反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
| 106.X.X.142 | 北京 | 电信 |
| 122.X.X.132 | 浙江 | 电信 |
| 117.X.X.56 | 甘肃 | 移动 |
| 58.X.X.30 | 广东 | 联通 |
| 139.X.X.209 | 上海 | 阿里云 |
| 112.X.X.182 | 浙江 | 阿里云 |
| 182.X.X.188 | 云南 | 电信 |
| 223.X.X.22 | 北京 | 移动 |
| 113.X.X.112 | 广东 | 电信 |
| 118.X.X.36 | 北京 | 电信 |
| 218.X.X.27 | 广东 | 电信 |
| 218.X.X.208 | 江西 | 电信 |
| 218.X.X.239 | 江西 | 电信 |
| 39.X.X.1 | 北京 | 阿里云 |
| 121.X.X.37 | 浙江 | 阿里云 |
| 180.X.X.192 | 北京 | 电信 |
| 222.X.X.62 | 黑龙江 | 电信 |
| 124.X.X.26 | 北京 | 华为云 |
| 115.X.X.142 | 浙江 | 电信 |
| 121.X.X.63 | 广东 | 电信 |
(2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
2021年第1季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器608879个,其中境内反射服务器占比44.2%、云平台反射服务器占比3.1%,如图10所示。
图10 2021年第1季度NTP反射服务器数量境内外分布和云平台占比
图11 2021年第1季度境外NTP反射服务器数量按国家或地区分布
图12 2021年第1季度境内NTP反射服务器数量按省份和运营商分布
表4 2021年第1季度被利用参与NTP反射攻击最多的反射服务器地址TOP20
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 116.X.X.86 | 云南 | 电信 |
| 101.X.X.81 | 上海 | 电信 |
| 218.X.X.198 | 浙江 | 电信 |
| 114.X.X.115 | 江苏 | 电信 |
| 112.X.X.23 | 上海 | 联通 |
| 218.X.X.43 | 新疆 | 电信 |
| 221.X.X.47 | 北京 | 移动 |
| 180.X.X.85 | 上海 | 电信 |
| 60.X.X.89 | 安徽 | 电信 |
| 180.X.X.194 | 北京 | 电信 |
| 202.X.X.242 | 广西 | 电信 |
| 61.X.X.106 | 云南 | 电信 |
| 180.X.X.121 | 上海 | 电信 |
| 60.X.X.173 | 安徽 | 电信 |
| 175.X.X.46 | 吉林 | 联通 |
| 222.X.X.149 | 湖南 | 电信 |
| 60.X.X.50 | 安徽 | 电信 |
| 180.X.X.217 | 上海 | 电信 |
| 223.X.X.189 | 安徽 | 电信 |
| 223.X.X.82 | 安徽 | 电信 |
(3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
2021年第1季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器2646360个,其中境内反射服务器占比92.5%、云平台反射服务器占比0.2%,如图13所示。
图13 2021年第1季度SSDP反射服务器数量境内外分布和云平台占比
图14 2021年第1季度境外SSDP反射服务器数量按国家或地区分布
图15 2021年第1季度境内SSDP反射服务器数量按省份和运营商分布
表5 2021年第1季度被利用参与SSDP反射攻击最多的反射服务器地址TOP20
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 59.X.X.242 | 山西 | 电信 |
| 118.X.X.118 | 甘肃 | 电信 |
| 180.X.X.167 | 上海 | 电信 |
| 218.X.X.213 | 黑龙江 | 联通 |
| 60.X.X.115 | 山西 | 联通 |
| 219.X.X.146 | 山西 | 电信 |
| 183.X.X.210 | 上海 | 移动 |
| 58.X.X.66 | 上海 | 联通 |
| 183.X.X.90 | 山西 | 移动 |
| 27.X.X.62 | 上海 | 联通 |
| 60.X.X.246 | 黑龙江 | 联通 |
| 116.X.X.98 | 上海 | 电信 |
| 58.X.X.118 | 上海 | 联通 |
| 60.X.X.113 | 山西 | 联通 |
| 121.X.X.90 | 山西 | 联通 |
| 36.X.X.12 | 安徽 | 联通 |
| 117.X.X.174 | 上海 | 移动 |
| 124.X.X.66 | 山西 | 联通 |
| 60.X.X.220 | 黑龙江 | 联通 |
| 180.X.X.10 | 上海 | 电信 |
4
转发伪造流量的路由器分析
图16 跨域伪造流量来源路由器数量按省份和运营商分布
| 跨域伪造流量来源路由器 | 归属省份 | 归属运营商 |
| 202.X.X.60 | 北京 | 电信 |
| 202.X.X.61 | 北京 | 电信 |
| 202.X.X.16 | 上海 | 电信 |
| 202.X.X.17 | 上海 | 电信 |
| 202.X.X.223 | 四川 | 电信 |
| 124.X.X.1 | 上海 | 电信 |
| 124.X.X.250 | 上海 | 电信 |
| 219.X.X.30 | 北京 | 电信 |
| 219.X.X.70 | 北京 | 电信 |
| 202.X.X.222 | 四川 | 电信 |
| 202.X.X.23 | 上海 | 电信 |
| 202.X.X.21 | 上海 | 电信 |
| 202.X.X.24 | 上海 | 电信 |
| 202.X.X.17 | 上海 | 电信 |
| 220.X.X.253 | 北京 | 电信 |
| 112.X.X.3 | 上海 | 联通 |
| 112.X.X.2 | 上海 | 联通 |
| 61.X.X.1 | 浙江 | 电信 |
| 61.X.X.1 | 浙江 | 电信 |
| 202.X.X.193 | 江苏 | 电信 |
图17 2021年第1季度本地伪造流量来源路由器数量按省份和运营商分布
表7 2021年第1季度参与攻击最多的本地伪造流量来源路由器TOP20
| 本地伪造流量来源路由器 | 归属省份 | 归属运营商 |
| 202.X.X.21 | 上海 | 电信 |
| 202.X.X.17 | 上海 | 电信 |
| 219.X.X.70 | 北京 | 电信 |
| 202.X.X.23 | 上海 | 电信 |
| 222.X.X.127 | 江苏 | 电信 |
| 222.X.X.128 | 江苏 | 电信 |
| 202.X.X.24 | 上海 | 电信 |
| 61.X.X.1 | 江苏 | 电信 |
| 61.X.X.2 | 江苏 | 电信 |
| 61.X.X.255 | 江苏 | 电信 |
| 202.X.X.191 | 江苏 | 电信 |
| 61.X.X.252 | 江苏 | 电信 |
| 124.X.X.1 | 上海 | 电信 |
| 61.X.X.14 | 北京 | 联通 |
| 61.X.X.12 | 北京 | 联通 |
| 123.X.X.1 | 内蒙古 | 电信 |
| 220.X.X.127 | 浙江 | 电信 |
| 220.X.X.126 | 浙江 | 电信 |
| 61.X.X.4 | 北京 | 联通 |
| 202.X.X.52 | 辽宁 | 电信 |
点击下载完整报告:我国DDoS攻击资源分析报告-2021年第1季度
(来源:CNCERT)
更多信息安全资讯
请关注“中国信息安全”
本文始发于微信公众号(中国信息安全):发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论