查看原文
其他

2018年2月|我国DDoS攻击资源分析报告(反射攻击专题)

CNCERT 国家互联网应急中心CNCERT 2022-07-03

本月重点关注情况

1、本月利用memcached服务器实施反射攻击的事件大幅上升,自2月21日开始在我国境内尤为活跃。本月被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、浙江省、和北京市;数量最多的归属云服务商是阿里云。反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于安徽省移动、上海市移动、和北京市电信。

2、本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河南省、北京市、和河北省;数量最多的归属运营商是联通。反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于辽宁省电信、浙江省电信和浙江省联通。

3、本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、辽宁省、和河北省;数量最多的归属运营商是联通。而反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于北京市电信、天津市电信、和辽宁省移动。



攻击资源定义


近日,利用memcached服务器实施反射DDoS攻击的事件大幅上升。CNCERT对三类重点反射攻击事件进行了集中监测和分析,本报告为2018年2月份的反射攻击资源专项分析报告。围绕互联网环境威胁治理问题,重点对“被利用发起DDoS反射攻击的重要网络资源有哪些”这个问题进行分析。反射攻击的网络资源包括:

1、  反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

2、  反射攻击发起流量来源路由器,指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击发起流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击发起流量来源路由器单独统计。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。



反射攻击资源总情况分析


1

反射服务器资源分析

根据CNCERT抽样监测数据,2018年2月,利用反射服务器发起的三类重点反射攻击共涉及2,252,085台反射服务器,其中境内反射服务器1,804,807台,境外反射服务器447,278台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器有45,412台,占比2.0%,其中境内反射服务器16,594台,境外反射服务器28,818台;利用NTP反射发起反射攻击的反射服务器有32,693台,占比1.5%,其中境内反射服务器3,806台,境外反射服务器28,887台;利用SSDP反射发起反射攻击的反射服务器有2,173,980台,占比96.5%,其中境内反射服务器1,784,407台,境外反射服务器389,573台。

三种重点反射攻击类型根据所利用的反射服务器数量统计,占比最多的是SSDP反射攻击,占96.5%;根据攻击事件数量统计,占比最多的也是SSDP反射攻击,占51.9%。如图1所示。

图1 本月反射攻击利用端口根据服务器数量及事件数量统计

2

memchache反射服务器反射攻击资源分析

(1)反射服务器资源分析

Memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年2月,利用memcached服务器实施反射攻击的事件共涉及境内16,594台反射服务器,境外28,818台反射服务器。本月此类事件涉及的反射服务器数量趋势图,如图2所示,监测发现自2月21日开始被利用发起攻击的反射服务器数量上升明显。

图2 本月memcached反射服务器数量按天分布图

本月境内反射服务器数量按省份统计,广东省占的比例最大,占24.1%,其次是浙江省、北京市和山东省;按归属运营商或云服务商统计,阿里云占的比例最大,占35.9%,电信占比31.3%,联通占比11.7%,移动占比8.2%,如图3所示。

图3 本月境内memcached反射服务器数量按省份、运营商或云服务商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占29.8%,其次是日本、法国和俄罗斯,如图4所示。

图4 本月境外反射服务器数量按国家或地区分布

为防止memchached反射攻击事件蔓延,CNCERT从事件爆发开始,密切关注事件的演变情况,并在工业和信息化部网络安全管理局的指导下,组织各省分中心集中开展应急响应工作,截止3月初通报处置了1.4万个已被利用发起攻击或探测扫描的memcached服务器。本月境内发起反射攻击事件数量TOP100中目前仍存活的memcached服务器及归属如表1所示,位于上海市和浙江省的地址最多。

表1 本月境内发起反射攻击事件数量TOP100中仍存活的memcached服务器

反射服务器地址归属省份归属运营商或云服务商
42.X.X.187辽宁省电信
42.X.X.244辽宁省电信
58.X.X.124湖南省联通
101.X.X.242上海市电信
101.X.X.187上海市电信
101.X.X.215上海市电信
101.X.X.84上海市电信
101.X.X.152上海市电信
111.X.X.170江西省电信
111.X.X.245江西省电信
111.X.X.6江西省电信
112.X.X.225辽宁省移动
114.X.X.55浙江省阿里云
120.X.X.17浙江省阿里云
120.X.X.127浙江省阿里云
120.X.X.177浙江省阿里云
120.X.X.186浙江省阿里云
120.X.X.160浙江省阿里云
121.X.X.109浙江省电信
123.X.X.208北京市待确认
139.X.X.192广东省电信
211.X.X.13浙江省电信

(2)反射攻击发起流量来源路由器

2018年2月,境内利用memcached服务器实施反射攻击的发起流量主要来源于626个路由器,根据参与攻击事件的数量统计,归属于安徽省移动的路由器(120.X.X.2、120.X.X.1)涉及的攻击事件最多,其次是归属于上海市移动(211.X.X.203)、和北京市电信(202.X.X.17)的路由器,如表2所示。

表2 本月转发反射放大攻击事件流量的来源路由器按事件数量TOP25

反射攻击发起流量来源路由器所属省份所属运营商
120.X.X.2安徽省移动
120.X.X.1安徽省移动
211.X.X.203上海市移动
202.X.X.17北京市电信
112.X.X.39上海市联通
220.X.X.126浙江省电信
220.X.X.127浙江省电信
202.X.X.16北京市电信
211.X.X.205上海市移动
202.X.X.137山西省电信
202.X.X.136山西省电信
221.X.X.1河南省移动
202.X.X.21上海市电信
112.X.X.38上海市联通
211.X.X.44辽宁省移动
211.X.X.4湖南省移动
220.X.X.243北京市电信
124.X.X.2浙江省联通
211.X.X.3湖南省移动
211.X.X.45辽宁省移动
120.X.X.247安徽省移动
220.X.X.253北京市电信
211.X.X.3浙江省移动
219.X.X.70北京市电信
211.X.X.8浙江省移动

根据反射发起攻击流量的来源路由器数量按省份统计,北京市占的比例最大,占18.4%,其次是广东省、江苏省和四川省;按反射发起攻击流量的来源路由器数量按归属运营商统计,联通占的比例最大,占30.9%,移动占比29.8%,电信占比24.3%,如图5所示。

图5 本月memcached反射攻击发起流量来源路由器数量按省份和运营商分布


3

NTP反射攻击资源分析

(1)反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年2月,NTP反射攻击事件共涉及我国境内3,806台反射服务器,境外28,887台反射服务器。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,河南省占的比例最大,占17.7%,其次是北京市、河北省和广东省;按归属运营商统计,联通占的比例最大,占54.4%,电信占比28.7%,移动占比12.7%,如图6所示。

图6 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占11.7%,其次是美国、中国台湾和土耳其,如图7所示。

图7 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表3所示,位于吉林省和北京市的地址最多。

表3 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30

反射服务器地址归属省份归属运营商
221.X.X.37河南省移动
120.X.X.12河北省联通
61.X.X.59河南省联通
113.X.X.56西藏自治区电信
122.X.X.170江苏省联通
119.X.X.93湖南省联通
119.X.X.12山东省联通
119.X.X.147吉林省联通
119.X.X.43四川省联通
113.X.X.27湖北省联通
61.X.X.174山东省联通
125.X.X.42河南省联通
218.X.X.23河南省联通
124.X.X.110河北省电信
218.X.X.14山东省联通
60.X.X.131黑龙江省联通
221.X.X.28浙江省联通
113.X.X.8黑龙江省联通
218.X.X.80黑龙江省联通
218.X.X.2黑龙江省联通
60.X.X.12新疆维吾尔自治区联通
60.X.X.126新疆维吾尔自治区联通
124.X.X.166北京市联通
220.X.X.54安徽省联通
114.X.X.108北京市联通
211.X.X.26山东省联通
119.X.X.114吉林省联通
119.X.X.138吉林省联通
221.X.X.132山东省联通
111.X.X.10浙江省移动

(2)反射攻击发起流量来源路由器

2018年2月,境内NTP反射攻击事件的发起流量主要来源于111个路由器,根据参与攻击事件的数量统计,归属于辽宁省电信的路由器(219.X.X.11)涉及的攻击事件最多,其次是归属于浙江省电信(220.X.X.127)、和浙江省联通(124.X.X.21)的路由器,如表4所示。

表4 本月NTP反射攻击事件的流量来源路由器按事件数量TOP25

反射攻击发起流量来源路由器所属省份所属运营商
219.X.X.11辽宁省电信
220.X.X.127浙江省电信
124.X.X.21浙江省联通
124.X.X.22浙江省联通
220.X.X.126浙江省电信
219.X.X.12辽宁省电信
222.X.X.121吉林省电信
211.X.X.45辽宁省移动
211.X.X.44辽宁省移动
202.X.X.136山西省电信
211.X.X.54辽宁省移动
221.X.X.1天津市电信
211.X.X.17辽宁省移动
202.X.X.137山西省电信
221.X.X.2天津市电信
221.X.X.192广东省移动
61.X.X.14北京市联通
61.X.X.152北京市联通
61.X.X.12北京市联通
61.X.X.40北京市联通
61.X.X.4北京市联通
61.X.X.153北京市联通
111.X.X.1青海省移动
221.X.X.191广东省移动
220.X.X.253北京市电信

根据发起NTP反射攻击流量的来源路由器数量按省份统计,广东省占的比例最大,占23.4%,其次是北京市、内蒙古和浙江省;按发起NTP反射攻击流量的来源路由器数量按归属运营商统计,移动占的比例最大,占39.6%,电信占比30.6%,联通占比29.7%,如图8所示。

图8 本月发起NTP反射攻击流量的来源路由器数量按省份和运营商分布


4

SSDP反射攻击资源分析

(1)反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的ICMP查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年2月,SSDP反射攻击事件共涉及境内1,784,407台反射服务器,境外389,573台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占25.1%,其次是辽宁省、河北省和吉林省;按归属运营商统计,联通占的比例最大,占74.4%,电信占比23.3%,移动占比2.0%,如图9所示。

图9 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占29.7%,其次是美国、加拿大和土耳其,如图10所示。

图10 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,地址大量位于黑龙江省。

表5 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址归属省份归属运营商或云服务商
111.X.X.27黑龙江省移动
111.X.X.40黑龙江省移动
111.X.X.203黑龙江省移动
111.X.X.94黑龙江省移动
112.X.X.26黑龙江省电信
112.X.X.163黑龙江省电信
112.X.X.18黑龙江省电信
112.X.X.55黑龙江省电信
112.X.X.4黑龙江省电信
123.X.X.81黑龙江省电信
219.X.X.198黑龙江省电信
222.X.X.22黑龙江省电信
222.X.X.130黑龙江省电信
222.X.X.178黑龙江省电信
222.X.X.81黑龙江省电信
222.X.X.107黑龙江省电信
222.X.X.124黑龙江省电信
222.X.X.90黑龙江省电信
222.X.X.26黑龙江省电信
222.X.X.106黑龙江省电信
222.X.X.34黑龙江省电信
222.X.X.105黑龙江省电信
222.X.X.29黑龙江省电信
39.X.X.4辽宁省移动
59.X.X.98辽宁省电信
59.X.X.101辽宁省电信
39.X.X.53辽宁省移动
219.X.X.150辽宁省电信
59.X.X.100辽宁省电信
220.X.X.145西藏自治区电信

(2)反射攻击发起流量来源路由器

2018年2月,境内SSDP反射攻击事件的发起流量主要来源于705个路由器,根据参与攻击事件的数量统计,归属于北京市电信的路由器(219.X.X.70)涉及的攻击事件最多,其次是归属于北京市电信(219.X.X.45、219.X.X.30、219.X.X.144)和天津市电信(221.X.X.1、221.X.X.2)的路由器,如表6所示。

表6 本月SSDP反射攻击事件的发起流量来源路由器按事件数量TOP25

反射攻击发起流量来源路由器所属省份所属运营商
219.X.X.70北京市电信
219.X.X.45北京市电信
219.X.X.30北京市电信
219.X.X.144北京市电信
221.X.X.1天津市电信
221.X.X.2天津市电信
211.X.X.44辽宁省移动
220.X.X.243北京市电信
220.X.X.253北京市电信
211.X.X.54辽宁省移动
211.X.X.17辽宁省移动
61.X.X.104北京市联通
61.X.X.238北京市联通
180.X.X.1北京市电信
218.X.X.6北京市电信
218.X.X.24北京市电信
61.X.X.245北京市联通
180.X.X.2北京市电信
221.X.X.253广东省联通
117.X.X.1辽宁省移动
221.X.X.1安徽省移动
117.X.X.2北京市电信
124.X.X.21浙江省移动
61.X.X.12北京市电信
124.X.X.22浙江省移动

根据发起SSDP反射攻击流量的来源路由器数量按省份统计,北京市占的比例最大,占12.5%,其次是广东省、湖南省和新疆维吾尔自治区;发起SSDP反射攻击流量的来源路由器数量按归属运营商统计,移动占的比例最大,占38.9%,电信占比33.3%,联通占比27.8%,如图11所示。

图11 本月发起SSDP反射攻击流量的来源路由器数量按省份和运营商分布反射攻击受害目标统计及治理建议


5

反射攻击受害目标统计及治理建议

CNCERT根据抽样监测分析发现,2018年2月我国境内超过1500个攻击目标遭受到DDoS反射攻击,其中,遭受memcached反射攻击的受害目标占比14.3%;遭受NTP反射攻击的受害目标占比34.7%;遭受SSDP反射攻击的受害目标占比51.0%。这些攻击目标按省份分布如图12所示,其中浙江省占比最大,占21.3%;其次是江苏省、广东省和福建省。

图12 本月遭受反射攻击的攻击目标数量按省份分布

目前,在工业和信息化部网络安全管理局的指导下,CNCERT组织各省分中心、运营商、安全企业、云服务商等持续开展DDoS攻击资源治理工作,要求各单位对发现被用于反射攻击的服务器、电脑主机和智能设备及时进行通知处理,要求运营商加强对虚假源地址流量的精细化整治工作。此外,建议用户及相关使用单位提高网络安全意识和安全防护能力,及时更新升级固件或服务程序、修复漏洞,规范安全配置。针对无需提供公开互联网服务的服务器、电脑主机和智能设备,建议直接关闭DNS、SSDP、NTP、SNMP、Chargen、Memcached等服务,或在防火墙或网络出入口上封禁外部IP访问这些服务端口。针对需要对指定IP提供服务的,可通过配置防火墙等访问控制策略允许授权IP的访问并禁止其他IP的访问,另外Memcached等部分服务也可通过更改默认服务端口或更改传输协议类型为TCP等方式来预防反射攻击。针对需要提供公开互联网服务的,可根据反射攻击的特点,对特定反射攻击指令的报文流量进行监测识别和过滤、对反射攻击的伪造源IP地址进行监测识别和限速、限流、拦截。



往期回顾








 2017年我国联网智能设备安全情况报告

 关于Memcached服务器反射攻击的情况通报(第2期)

 关于利用memcached服务器实施反射DDoS攻击的情况通报

 2018年1月|我国DDoS攻击资源分析报告

 2017年我国DDoS攻击资源分析报告



点击“阅读原文”查看精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存