发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

  • A+
所属分类:云安全
发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)
发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

扫码订阅《中国信息安全》杂志

权威刊物 重要平台 关键渠道

邮发代号 2-786


5月27日,国家互联网应急中心(CNCERT)发布了《我国DDoS攻击资源分析报告(2021年第1季度)》(下称“报告”)。报告围绕互联网环境威胁治理问题,基于CNCERT监测的DDos攻击事件数据进行抽样分析,重点对“DDos攻击是从哪些网络资源上发起的”这个问题,从控制端资源、肉鸡资源、反射攻击资源和转发伪造流量的路由器等四方面进行分析。



本季度重点关注情况

1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、德国和荷兰;境内控制端按省份统计,最多位于吉林省、河南省和山东省,按归属运营商统计,联通占比最大。

2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于江苏省、安徽省和浙江省;按归属运营商统计,电信占比最大。

3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、河北省和湖北省;数量最多的归属运营商是电信。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、广东省和辽宁省;数量最多的归属运营商是电信

4、本季度转发伪造跨域攻击流量的路由器中,位于上海市、四川省和北京市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于江苏省、福建省和广东省的路由器数量最多

攻击资源定义

本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源分析

1

控制端资源分析


2021年第1季度CNCERT/CC监测发现,利用肉鸡发起DDoS攻击的活跃控制端有793个,其中境外控制端占比97.9%、云平台控制端占比68.5%,如图1所示。

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图1 2021年第1季度发起DDoS攻击的控制端数量境内外分布和云平台占比

位于境外的控制端按国家或地区统计,排名前三位的分别为美国(41.9%)、德国(12.0%)和荷兰(9.3%),其中如图2所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图2 2021年第1季度发起DDoS攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计,排名前三位的分别为吉林省(23.5%)、河南省(11.8%)和山东省(11.8%);按运营商统计,联通占41.2%,电信占23.5%,如图3所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图3 2021年第1季度发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端地址前二十名及归属如表1所示,位于吉林省的地址最多
表1 2021年第1季度发起攻击的境内控制端TOP20
控制端地址 归属省份 归属运营商或云服务商
27.X.X.246 山东 联通
118.X.X.157 吉林 联通
42.X.X.166 河南 BGP多线
116.X.X.28 湖北 电信
8.X.X.29 北京 阿里云
219.X.X.152 河南 联通
113.X.X.144 上海 BGP多线
113.X.X.40 吉林 联通
113.X.X.245 吉林 联通
121.X.X.38 浙江 阿里云
118.X.X.88 四川 电信
119.X.X.33 山东 联通
61.X.X.199 江苏 电信
123.X.X.34 北京 阿里云
211.X.X.98 北京 BGP多线
113.X.X.222 吉林 联通
111.X.X.212 江西 电信
27.X.X.246 山东 联通
118.X.X.157 吉林 联通
42.X.X.166 河南 BGP多线

2

肉鸡资源分析

2021年第1季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡621557个,其中境内肉鸡占比68.8%、云平台肉鸡占比8.7%,如图4所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图4 2021年第1季度参与DDoS攻击的肉鸡数量境内外分布和云平台占比

位于境外的肉鸡按国家或地区统计,排名前三位的分别为美国(14.7%)、越南(14.4%)和巴西(7.2%),其中如图5所示。

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图5 2021年第1季度参与DDoS攻击的境外肉鸡数量按国家或地区分布

位于境内的肉鸡按省份统计,排名前三位的分别为江苏省(11.8%)、安徽省(7.5%)和浙江省(6.6%);按运营商统计,电信占62.5%,联通占23.9%,移动占11.0%,如图6所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图6 2021年第1季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布

参与攻击最多的境内肉鸡地址前二十名及归属如表2所示,位于北京市的地址最多。

表2 2021年第1季度参与攻击最多的境内肉鸡地址TOP20

肉鸡地址 归属省份 归属运营商
124.X.X.117 北京 BGP多线
123.X.X.121 北京 BGP多线
111.X.X.145 北京 联通
111.X.X.195 北京 联通
111.X.X.227 北京 联通
111.X.X.233 北京 联通
111.X.X.201 北京 联通
39.X.X.75 广东 阿里云
140.X.X.13 北京 BGP多线
39.X.X.61 北京 阿里云
8.X.X.61 山东 阿里云
106.X.X.176 广东 电信
121.X.X.79 北京 电信
139.X.X.233 广东 电信
39.X.X.181 北京 阿里云
106.X.X.144 上海 阿里云
106.X.X.206 广东 电信
101.X.X.15 上海 阿里云
8.X.X.218 山东 阿里云
47.X.X.15 上海 阿里云

3

反射攻击资源分析


2021年第1季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器3343283台,其中境内反射服务器占比83.6%,Memcached反射服务器占比2.6%,NTP反射服务器占比18.2%,SSDP反射服务器占比79.2%

(1)Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

2021年第1季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器88044个,其中境内反射服务器占比90.3%、云平台反射服务器占比8.8%,如图7所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图7 2021年第1季度Memcached反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(31.1%)、德国(7.7%)和中国香港(7.6%),其中如图8所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图8 2021年第1季度境外Memcached反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计,排名前三位的分别为广东省(23.1%)、山东省(6.0%)和湖南省(5.5%);按运营商统计,电信占73.7%,移动占12.8%,联通占11.2%,如图9所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图9 2021年第1季度境内Memcached反射服务器数量按省份和运营商分布

被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示,位于北京市的地址最多
表3 2021年第1季度被利用参与Memcached反射攻击最多的反射服务器地址TOP20
反射服务器地址 归属省份 归属运营商或云服务商
106.X.X.142 北京 电信
122.X.X.132 浙江 电信
117.X.X.56 甘肃 移动
58.X.X.30 广东 联通
139.X.X.209 上海 阿里云
112.X.X.182 浙江 阿里云
182.X.X.188 云南 电信
223.X.X.22 北京 移动
113.X.X.112 广东 电信
118.X.X.36 北京 电信
218.X.X.27 广东 电信
218.X.X.208 江西 电信
218.X.X.239 江西 电信
39.X.X.1 北京 阿里云
121.X.X.37 浙江 阿里云
180.X.X.192 北京 电信
222.X.X.62 黑龙江 电信
124.X.X.26 北京 华为云
115.X.X.142 浙江 电信
121.X.X.63 广东 电信

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

2021年第1季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器608879个,其中境内反射服务器占比44.2%、云平台反射服务器占比3.1%,如图10所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图10 2021年第1季度NTP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计,排名前三位的分别为越南(49.1%)、巴西(9.0%)和马来西亚(4.0%),其中如图11所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图11 2021年第1季度境外NTP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计,排名前三位的分别为浙江省(33.1%)、河北省(11.5%)和湖北省(11.1%);按运营商统计,电信占55.0%,联通占34.2%,移动占9.2%,如图12所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图12 2021年第1季度境内NTP反射服务器数量按省份和运营商分布

被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示,位于安徽省、上海市的地址最多

表4 2021年第1季度被利用参与NTP反射攻击最多的反射服务器地址TOP20

反射服务器地址 归属省份 归属运营商
116.X.X.86 云南 电信
101.X.X.81 上海 电信
218.X.X.198 浙江 电信
114.X.X.115 江苏 电信
112.X.X.23 上海 联通
218.X.X.43 新疆 电信
221.X.X.47 北京 移动
180.X.X.85 上海 电信
60.X.X.89 安徽 电信
180.X.X.194 北京 电信
202.X.X.242 广西 电信
61.X.X.106 云南 电信
180.X.X.121 上海 电信
60.X.X.173 安徽 电信
175.X.X.46 吉林 联通
222.X.X.149 湖南 电信
60.X.X.50 安徽 电信
180.X.X.217 上海 电信
223.X.X.189 安徽 电信
223.X.X.82 安徽 电信

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

2021年第1季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器2646360个,其中境内反射服务器占比92.5%、云平台反射服务器占比0.2%,如图13所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图13 2021年第1季度SSDP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计,排名前三位的分别为俄罗斯(13.9%)、美国(9.1%)和韩国(8.2%),其中如图14所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图14 2021年第1季度境外SSDP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计,排名前三位的分别为浙江省(16.5%)、广东省(10.6%)和辽宁省(10.0%);按运营商统计,电信占53.6%,联通占45.2%,移动占0.6%,如图15所示

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

15 2021年第1季度境内SSDP反射服务器数量按省份和运营商分布

被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示,位于上海市的地址最多

表5 2021年第1季度被利用参与SSDP反射攻击最多的反射服务器地址TOP20

反射服务器地址 归属省份 归属运营商
59.X.X.242 山西 电信
118.X.X.118 甘肃 电信
180.X.X.167 上海 电信
218.X.X.213 黑龙江 联通
60.X.X.115 山西 联通
219.X.X.146 山西 电信
183.X.X.210 上海 移动
58.X.X.66 上海 联通
183.X.X.90 山西 移动
27.X.X.62 上海 联通
60.X.X.246 黑龙江 联通
116.X.X.98 上海 电信
58.X.X.118 上海 联通
60.X.X.113 山西 联通
121.X.X.90 山西 联通
36.X.X.12 安徽 联通
117.X.X.174 上海 移动
124.X.X.66 山西 联通
60.X.X.220 黑龙江 联通
180.X.X.10 上海 电信

4

转发伪造流量的路由器分析


(1)跨域伪造流量来源路由器
2021年第1季度CNCERT/CC监测发现,转发跨域伪造流量的路由器162个;按省份统计,排名前三位的分别为上海市(16.0%)、四川省(15.4%)和北京市(13.6%);按运营商统计,电信占52.5%,移动占27.8%,联通占19.8%,如图16所示。

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图16 跨域伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计,参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示,位于上海市的地址最多。
表6 2021年第1季度参与攻击最多的跨域伪造流量来源路由器TOP20
跨域伪造流量来源路由器 归属省份 归属运营商
202.X.X.60 北京 电信
202.X.X.61 北京 电信
202.X.X.16 上海 电信
202.X.X.17 上海 电信
202.X.X.223 四川 电信
124.X.X.1 上海 电信
124.X.X.250 上海 电信
219.X.X.30 北京 电信
219.X.X.70 北京 电信
202.X.X.222 四川 电信
202.X.X.23 上海 电信
202.X.X.21 上海 电信
202.X.X.24 上海 电信
202.X.X.17 上海 电信
220.X.X.253 北京 电信
112.X.X.3 上海 联通
112.X.X.2 上海 联通
61.X.X.1 浙江 电信
61.X.X.1 浙江 电信
202.X.X.193 江苏 电信
2本地伪造流量来源路由器
2021年第1季度CNCERT/CC监测发现,转发本地伪造流量的路由器874个;按省份统计,排名前三位的分别为江苏省(9.8%)、福建省(5.4%)和广东省(5.3%);按运营商统计,电信占48.5%,移动占33.4%,联通占18.1%,如图17所示。

发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

图17 2021年第1季度本地伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计,参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示,位于江苏省的地址最多。

表7 2021年第1季度参与攻击最多的本地伪造流量来源路由器TOP20

本地伪造流量来源路由器 归属省份 归属运营商
202.X.X.21 上海 电信
202.X.X.17 上海 电信
219.X.X.70 北京 电信
202.X.X.23 上海 电信
222.X.X.127 江苏 电信
222.X.X.128 江苏 电信
202.X.X.24 上海 电信
61.X.X.1 江苏 电信
61.X.X.2 江苏 电信
61.X.X.255 江苏 电信
202.X.X.191 江苏 电信
61.X.X.252 江苏 电信
124.X.X.1 上海 电信
61.X.X.14 北京 联通
61.X.X.12 北京 联通
123.X.X.1 内蒙古 电信
220.X.X.127 浙江 电信
220.X.X.126 浙江 电信
61.X.X.4 北京 联通
202.X.X.52 辽宁 电信



点击下载完整报告:我国DDoS攻击资源分析报告-2021年第1季度


(来源:CNCERT)



发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)
发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)
发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)
发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

扫码关注我们

更多信息安全资讯

请关注“中国信息安全”

本文始发于微信公众号(中国信息安全):发布 | CNCERT:2021年一季度我国DDoS攻击资源分析报告(附下载)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: