2017年我国DDoS攻击资源分析报告
一、引言
近期,CNCERT深度分析了我国大陆地区发生的数千起DDoS(分布式拒绝服务)攻击事件。本报告围绕互联网环境威胁治理问题,对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
4、反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击流量来源路由器单独统计。
5、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷。且该路由器下的网络中存在发动DDoS攻击的设备。
6、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
二、DDOS攻击资源分析
(一)控制端资源分析
根据CNCERT监测数据,今年以来,利用肉鸡发起DDoS攻击的控制端总量为25,532个。发起的攻击次数呈现幂律分布,如图1所示。平均每个控制端发起过7.7次攻击。
图1 控制端利用肉鸡发起DDoS攻击的事件次数呈幂律分布
位于境外的控制端按国家或地区分布,美国占的比例最大,占10.1%;其次是韩国和中国台湾,如图2所示。
图2 发起DDoS攻击的境外控制端数量按国家或地区TOP30
位于境内的控制端按省份统计,广东省占的比例最大,占12.2%;其次是江苏省、四川省和浙江省,如图3所示。
图3发起DDoS攻击的境内控制端数量按省份分布
控制端发起攻击的天次总体呈现幂律分布,如图4所示。平均每个控制端在1.51天被尝试发起了DDoS攻击,最多的控制端在119天范围内发起了攻击,占总监测天数的五分之二。
图4 控制端尝试发起攻击天次呈现幂律分布
控制端尝试发起攻击的月次情况如表1所示。平均每个控制端在今年的1.19个月发起了DDoS攻击,有3个控制端地址在至少连续7个月次持续发起攻击。
表1 控制端发起攻击月次情况
月次 | 控制端数量 |
7 | 3 |
6 | 18 |
5 | 169 |
4 | 333 |
3 | 539 |
2 | 2013 |
1 | 22456 |
(二)肉鸡资源分析
根据CNCERT监测数据,利用真实肉鸡地址直接攻击(包含直接攻击与其它攻击的混合攻击)的DDoS攻击事件占事件总量的80%。其中,共有751,341个真实肉鸡地址参与攻击,涉及193,723个IP地址C段。肉鸡地址参与攻击的次数总体呈现幂律分布,如图5所示,平均每个肉鸡地址参与2.13次攻击。
图5 肉鸡地址参与攻击次数呈现幂律分布
参与攻击最多的肉鸡地址为归属于山西省运城市闻喜县联通的某地址,共参与了690次攻击。其次是归属于安徽省铜陵市铜官区联通的某地址,共参与了482次攻击;以及归属于贵州省贵阳市云岩区联通的某地址,共参与了479次攻击。
这些肉鸡按境内省份统计,北京占的比例最大,占9%;其次是山西省、重庆市和浙江省,如图6所示。按运营商统计,电信占的比例最大,占49.3%,移动占23.4%,联通占21.8%,如图7所示。
图6 肉鸡地址数量按省份分布
图7 肉鸡地址数量按运营商分布
肉鸡资源参与攻击的天次总体呈现幂律分布,如图8所示。平均每个肉鸡资源在1.51天被利用发起了DDoS攻击,最多的肉鸡资源在145天范围内被利用发起攻击,占总监测天数的五分之三。
图8 肉鸡参与攻击天次呈现幂律分布
肉鸡资源参与攻击的月次总体情况如表2所示。平均每个肉鸡资源在今年的1.11个月被利用发起了DDoS攻击,有271个肉鸡地址在连续8个月次被利用发起攻击,也就是说,这些肉鸡资源在监测月份中每个月都被利用以发起DDoS攻击,没有得到有效的清理处置。
表2肉鸡参与攻击月次情况
参与攻击月次 | 肉鸡数量 |
8 | 271 |
7 | 295 |
6 | 759 |
5 | 1488 |
4 | 2916 |
3 | 9434 |
2 | 44530 |
1 | 691648 |
(三)反射攻击资源分析
1.反射服务器资源
根据CNCERT监测数据,利用反射服务器发起的反射攻击的DDoS攻击事件占事件总量的25%,其中,共涉及251,828台反射服务器,反射服务器被利用以攻击的次数呈现幂律分布,如图9所示,平均每台反射服务器参与1.76次攻击。
图9 反射服务器被利用攻击次数呈现幂律分布
被利用最多发起反射放大攻击的服务器归属于新疆伊犁哈萨克自治州伊宁市移动,共参与了148次攻击。其次,是归属于新疆昌吉回族自治州阜康市移动的某地址,共参与了123次攻击;以及归属于新疆阿勒泰地区阿勒泰市联通的某地址,共参与了119次攻击。
反射服务器被利用发起攻击的天次总体呈现幂律分布,如图10所示。平均每个反射服务器在1.38天被利用发起了DDoS攻击,最多的反射服务器在65天范围内被利用发起攻击,近占监测总天数的三分之一。
图10 反射服务器参与攻击天次呈现幂律分布
反射服务器被利用发起攻击的月次情况如表3所示。平均每个反射服务器在今年的1.1个月被利用发起了DDoS攻击,有101个反射服务器在8个月次连续被利用发起攻击,也就是说,这些反射器在监测月份中每个月都被利用以发起DDoS攻击。
表3 反射服务器参与攻击月次情况
参与攻击月次 | 反射服务器数量 |
8 | 101 |
7 | 196 |
6 | 345 |
5 | 586 |
4 | 1169 |
3 | 2454 |
2 | 11462 |
1 | 235515 |
反射攻击所利用的服务端口根据反射服务器数量统计、以及按发起反射攻击事件数量统计,被利用最多的均为1900端口。被利用发起攻击的反射服务器中,93.8%曾通过1900号端口发起反射放大攻击,占反射攻击事件总量的75.6%。如图11所示。
图11反射攻击利用端口根据服务器数量及事件数量统计
根据反射服务器数量按省份统计,新疆占的比例最大,占18.7%;其次是山东省、辽宁省和内蒙古,如图12所示。按运营商统计,联通占的比例最大,占47%,电信占比27%,移动占比23.2%,如图13所示。
图12 反射服务器数量按省份分布
图13 反射服务器数量按运营商分布
2.反射攻击流量来源路由器
境内反射攻击流量主要来源于412个路由器,根据参与攻击事件的数量统计,归属于国际口的某路由器发起的攻击事件最多,为227件,其次是归属于河北省、北京市、以及天津的路由器,如图14所示。
图14 发起反射放大攻击事件的流量来源路由器按事件TOP25
根据发起反射攻击事件的来源路由器数量按省份统计,北京市占的比例最大,占10.2%;其次是山东省、广东省和辽宁省,如图15所示。按发起反射攻击事件的来源运营商统计,联通占的比例最大,占45.1%,电信占比36.4%,移动占比18.5%,如图16所示。
图15 反射攻击流量来源路由器数量按省分布
图16 反射攻击流量来源路由器数量按运营商分布
(四)发起伪造流量的路由器分
1.跨域伪造流量来源路由器
根据CNCERT监测数据,包含跨域伪造流量的DDoS攻击事件占事件总量的49.8%,通过跨域伪造流量发起攻击的流量来源于379个路由器。根据参与攻击事件的数量统计,归属于吉林省联通的路由器参与的攻击事件数量最多,均参与了326件,其次是归属于安徽省电信的路由器,如图17所示。
图17 跨域伪造流量来源路由器按参与事件数量TOP25
发起跨域伪造流量的路由器参与发起攻击的天次总体呈现幂律分布,如图18所示。平均每个路由器在15.5天被发现发起跨域伪造地址流量攻击,最多的路由器在105天范围内被发现发起跨域攻击流量,近占监测总天数的二分之一。
图18 跨域伪造流量来源路由器参与攻击天次呈现幂律分布
发起跨域伪造流量的路由器参与发起攻击的月次情况如表4所示。平均每个路由器在2.7个月次被发现发起跨域伪造地址流量攻击,14个路由器在连续8个月内被发现发起跨域攻击流量,也就是说,这些路由器长期多次地被利用发起跨域伪造流量攻击。
表4跨域伪造流量来源路由器参与攻击月次情况
参与攻击月次 | 跨域伪造流量来源路由器数量 |
8 | 14 |
7 | 16 |
6 | 18 |
5 | 24 |
4 | 37 |
3 | 42 |
2 | 71 |
1 | 156 |
跨区域伪造流量涉及路由器按省份分布统计如图19所示,其中,北京市占的比例最大,占13.2%;其次是江苏省、山东省、及广东省。按路由器所属运营商统计,联通占的比例最大,占46.7%,电信占比30.6%,移动占比22.7%,如图20所示。
图19 跨域伪造流量来源路由器数量按省分布
图20 跨域伪造流量来源路由器数量按运营商分布
2.本地伪造流量来源路由器
根据CNCERT监测数据,包含本地伪造流量的DDoS攻击事件占事件总量的51.3%,通过本地伪造流量发起攻击的流量来源于725个路由器。根据参与攻击事件的数量统计,归属于安徽省电信的路由器参与的攻击事件数量最多,最多参与了424件,其次是归属于陕西省电信的路由器,如图21所示。
图21 本地伪造流量来源路由器按参与事件数量TOP25
发起本地伪造流量的路由器参与发起攻击的天次总体呈现幂律分布,如图22所示。平均每个路由器在18.3天被发现发起跨域伪造地址流量攻击,最多的路由器在123天范围内被发现发起跨域攻击流量,占监测总天数的二分之一。
图22 本地伪造流量来源路由器参与攻击天次呈现幂律分布
发起本地伪造流量的路由器参与发起攻击的月次总体情况如表5所示。平均每个路由器在3.1个月次被发现发起本地伪造地址流量攻击,26个路由器在连续8个月内被发现发起本地攻击流量,也就是说,这些路由器长期多次地被利用发起本地伪造流量攻击,主要集中在湖北省及江西省。
表5本地伪造流量来源路由器参与攻击月次情况
参与攻击月次 | 本地伪造流量来源路由器数量 |
8 | 26 |
7 | 41 |
6 | 58 |
5 | 49 |
4 | 89 |
3 | 107 |
2 | 127 |
1 | 228 |
本地伪造流量涉及路由器按省份分布统计如图23所示。其中,江苏省占的比例最大,占8.7%;其次是北京市、河南省、及广东省。按路由器所属运营商统计,电信占的比例最大,占54.2%,如图24所示。
图23本地伪造流量来源路由器数量按省分布
图24本地伪造流量来源路由器数量按运营商分布
原文下载