2018年2月|我国DDoS攻击资源分析报告(反射攻击专题)
本月重点关注情况
1、本月利用memcached服务器实施反射攻击的事件大幅上升,自2月21日开始在我国境内尤为活跃。本月被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、浙江省、和北京市;数量最多的归属云服务商是阿里云。反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于安徽省移动、上海市移动、和北京市电信。
2、本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河南省、北京市、和河北省;数量最多的归属运营商是联通。反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于辽宁省电信、浙江省电信和浙江省联通。
3、本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、辽宁省、和河北省;数量最多的归属运营商是联通。而反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于北京市电信、天津市电信、和辽宁省移动。
攻击资源定义
近日,利用memcached服务器实施反射DDoS攻击的事件大幅上升。CNCERT对三类重点反射攻击事件进行了集中监测和分析,本报告为2018年2月份的反射攻击资源专项分析报告。围绕互联网环境威胁治理问题,重点对“被利用发起DDoS反射攻击的重要网络资源有哪些”这个问题进行分析。反射攻击的网络资源包括:
1、 反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
2、 反射攻击发起流量来源路由器,指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击发起流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击发起流量来源路由器单独统计。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
反射攻击资源总情况分析
1
反射服务器资源分析
根据CNCERT抽样监测数据,2018年2月,利用反射服务器发起的三类重点反射攻击共涉及2,252,085台反射服务器,其中境内反射服务器1,804,807台,境外反射服务器447,278台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器有45,412台,占比2.0%,其中境内反射服务器16,594台,境外反射服务器28,818台;利用NTP反射发起反射攻击的反射服务器有32,693台,占比1.5%,其中境内反射服务器3,806台,境外反射服务器28,887台;利用SSDP反射发起反射攻击的反射服务器有2,173,980台,占比96.5%,其中境内反射服务器1,784,407台,境外反射服务器389,573台。
三种重点反射攻击类型根据所利用的反射服务器数量统计,占比最多的是SSDP反射攻击,占96.5%;根据攻击事件数量统计,占比最多的也是SSDP反射攻击,占51.9%。如图1所示。
图1 本月反射攻击利用端口根据服务器数量及事件数量统计
2
memchache反射服务器反射攻击资源分析
(1)反射服务器资源分析
Memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年2月,利用memcached服务器实施反射攻击的事件共涉及境内16,594台反射服务器,境外28,818台反射服务器。本月此类事件涉及的反射服务器数量趋势图,如图2所示,监测发现自2月21日开始被利用发起攻击的反射服务器数量上升明显。
图2 本月memcached反射服务器数量按天分布图
本月境内反射服务器数量按省份统计,广东省占的比例最大,占24.1%,其次是浙江省、北京市和山东省;按归属运营商或云服务商统计,阿里云占的比例最大,占35.9%,电信占比31.3%,联通占比11.7%,移动占比8.2%,如图3所示。
图3 本月境内memcached反射服务器数量按省份、运营商或云服务商分布
本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占29.8%,其次是日本、法国和俄罗斯,如图4所示。
图4 本月境外反射服务器数量按国家或地区分布
为防止memchached反射攻击事件蔓延,CNCERT从事件爆发开始,密切关注事件的演变情况,并在工业和信息化部网络安全管理局的指导下,组织各省分中心集中开展应急响应工作,截止3月初通报处置了1.4万个已被利用发起攻击或探测扫描的memcached服务器。本月境内发起反射攻击事件数量TOP100中目前仍存活的memcached服务器及归属如表1所示,位于上海市和浙江省的地址最多。
表1 本月境内发起反射攻击事件数量TOP100中仍存活的memcached服务器
| 反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
| 42.X.X.187 | 辽宁省 | 电信 |
| 42.X.X.244 | 辽宁省 | 电信 |
| 58.X.X.124 | 湖南省 | 联通 |
| 101.X.X.242 | 上海市 | 电信 |
| 101.X.X.187 | 上海市 | 电信 |
| 101.X.X.215 | 上海市 | 电信 |
| 101.X.X.84 | 上海市 | 电信 |
| 101.X.X.152 | 上海市 | 电信 |
| 111.X.X.170 | 江西省 | 电信 |
| 111.X.X.245 | 江西省 | 电信 |
| 111.X.X.6 | 江西省 | 电信 |
| 112.X.X.225 | 辽宁省 | 移动 |
| 114.X.X.55 | 浙江省 | 阿里云 |
| 120.X.X.17 | 浙江省 | 阿里云 |
| 120.X.X.127 | 浙江省 | 阿里云 |
| 120.X.X.177 | 浙江省 | 阿里云 |
| 120.X.X.186 | 浙江省 | 阿里云 |
| 120.X.X.160 | 浙江省 | 阿里云 |
| 121.X.X.109 | 浙江省 | 电信 |
| 123.X.X.208 | 北京市 | 待确认 |
| 139.X.X.192 | 广东省 | 电信 |
| 211.X.X.13 | 浙江省 | 电信 |
(2)反射攻击发起流量来源路由器
2018年2月,境内利用memcached服务器实施反射攻击的发起流量主要来源于626个路由器,根据参与攻击事件的数量统计,归属于安徽省移动的路由器(120.X.X.2、120.X.X.1)涉及的攻击事件最多,其次是归属于上海市移动(211.X.X.203)、和北京市电信(202.X.X.17)的路由器,如表2所示。
表2 本月转发反射放大攻击事件流量的来源路由器按事件数量TOP25
| 反射攻击发起流量来源路由器 | 所属省份 | 所属运营商 |
| 120.X.X.2 | 安徽省 | 移动 |
| 120.X.X.1 | 安徽省 | 移动 |
| 211.X.X.203 | 上海市 | 移动 |
| 202.X.X.17 | 北京市 | 电信 |
| 112.X.X.39 | 上海市 | 联通 |
| 220.X.X.126 | 浙江省 | 电信 |
| 220.X.X.127 | 浙江省 | 电信 |
| 202.X.X.16 | 北京市 | 电信 |
| 211.X.X.205 | 上海市 | 移动 |
| 202.X.X.137 | 山西省 | 电信 |
| 202.X.X.136 | 山西省 | 电信 |
| 221.X.X.1 | 河南省 | 移动 |
| 202.X.X.21 | 上海市 | 电信 |
| 112.X.X.38 | 上海市 | 联通 |
| 211.X.X.44 | 辽宁省 | 移动 |
| 211.X.X.4 | 湖南省 | 移动 |
| 220.X.X.243 | 北京市 | 电信 |
| 124.X.X.2 | 浙江省 | 联通 |
| 211.X.X.3 | 湖南省 | 移动 |
| 211.X.X.45 | 辽宁省 | 移动 |
| 120.X.X.247 | 安徽省 | 移动 |
| 220.X.X.253 | 北京市 | 电信 |
| 211.X.X.3 | 浙江省 | 移动 |
| 219.X.X.70 | 北京市 | 电信 |
| 211.X.X.8 | 浙江省 | 移动 |
根据反射发起攻击流量的来源路由器数量按省份统计,北京市占的比例最大,占18.4%,其次是广东省、江苏省和四川省;按反射发起攻击流量的来源路由器数量按归属运营商统计,联通占的比例最大,占30.9%,移动占比29.8%,电信占比24.3%,如图5所示。
图5 本月memcached反射攻击发起流量来源路由器数量按省份和运营商分布
3
NTP反射攻击资源分析
(1)反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年2月,NTP反射攻击事件共涉及我国境内3,806台反射服务器,境外28,887台反射服务器。
本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,河南省占的比例最大,占17.7%,其次是北京市、河北省和广东省;按归属运营商统计,联通占的比例最大,占54.4%,电信占比28.7%,移动占比12.7%,如图6所示。
图6 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占11.7%,其次是美国、中国台湾和土耳其,如图7所示。
图7 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布
本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表3所示,位于吉林省和北京市的地址最多。
表3 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 221.X.X.37 | 河南省 | 移动 |
| 120.X.X.12 | 河北省 | 联通 |
| 61.X.X.59 | 河南省 | 联通 |
| 113.X.X.56 | 西藏自治区 | 电信 |
| 122.X.X.170 | 江苏省 | 联通 |
| 119.X.X.93 | 湖南省 | 联通 |
| 119.X.X.12 | 山东省 | 联通 |
| 119.X.X.147 | 吉林省 | 联通 |
| 119.X.X.43 | 四川省 | 联通 |
| 113.X.X.27 | 湖北省 | 联通 |
| 61.X.X.174 | 山东省 | 联通 |
| 125.X.X.42 | 河南省 | 联通 |
| 218.X.X.23 | 河南省 | 联通 |
| 124.X.X.110 | 河北省 | 电信 |
| 218.X.X.14 | 山东省 | 联通 |
| 60.X.X.131 | 黑龙江省 | 联通 |
| 221.X.X.28 | 浙江省 | 联通 |
| 113.X.X.8 | 黑龙江省 | 联通 |
| 218.X.X.80 | 黑龙江省 | 联通 |
| 218.X.X.2 | 黑龙江省 | 联通 |
| 60.X.X.12 | 新疆维吾尔自治区 | 联通 |
| 60.X.X.126 | 新疆维吾尔自治区 | 联通 |
| 124.X.X.166 | 北京市 | 联通 |
| 220.X.X.54 | 安徽省 | 联通 |
| 114.X.X.108 | 北京市 | 联通 |
| 211.X.X.26 | 山东省 | 联通 |
| 119.X.X.114 | 吉林省 | 联通 |
| 119.X.X.138 | 吉林省 | 联通 |
| 221.X.X.132 | 山东省 | 联通 |
| 111.X.X.10 | 浙江省 | 移动 |
(2)反射攻击发起流量来源路由器
2018年2月,境内NTP反射攻击事件的发起流量主要来源于111个路由器,根据参与攻击事件的数量统计,归属于辽宁省电信的路由器(219.X.X.11)涉及的攻击事件最多,其次是归属于浙江省电信(220.X.X.127)、和浙江省联通(124.X.X.21)的路由器,如表4所示。
表4 本月NTP反射攻击事件的流量来源路由器按事件数量TOP25
| 反射攻击发起流量来源路由器 | 所属省份 | 所属运营商 |
| 219.X.X.11 | 辽宁省 | 电信 |
| 220.X.X.127 | 浙江省 | 电信 |
| 124.X.X.21 | 浙江省 | 联通 |
| 124.X.X.22 | 浙江省 | 联通 |
| 220.X.X.126 | 浙江省 | 电信 |
| 219.X.X.12 | 辽宁省 | 电信 |
| 222.X.X.121 | 吉林省 | 电信 |
| 211.X.X.45 | 辽宁省 | 移动 |
| 211.X.X.44 | 辽宁省 | 移动 |
| 202.X.X.136 | 山西省 | 电信 |
| 211.X.X.54 | 辽宁省 | 移动 |
| 221.X.X.1 | 天津市 | 电信 |
| 211.X.X.17 | 辽宁省 | 移动 |
| 202.X.X.137 | 山西省 | 电信 |
| 221.X.X.2 | 天津市 | 电信 |
| 221.X.X.192 | 广东省 | 移动 |
| 61.X.X.14 | 北京市 | 联通 |
| 61.X.X.152 | 北京市 | 联通 |
| 61.X.X.12 | 北京市 | 联通 |
| 61.X.X.40 | 北京市 | 联通 |
| 61.X.X.4 | 北京市 | 联通 |
| 61.X.X.153 | 北京市 | 联通 |
| 111.X.X.1 | 青海省 | 移动 |
| 221.X.X.191 | 广东省 | 移动 |
| 220.X.X.253 | 北京市 | 电信 |
根据发起NTP反射攻击流量的来源路由器数量按省份统计,广东省占的比例最大,占23.4%,其次是北京市、内蒙古和浙江省;按发起NTP反射攻击流量的来源路由器数量按归属运营商统计,移动占的比例最大,占39.6%,电信占比30.6%,联通占比29.7%,如图8所示。
图8 本月发起NTP反射攻击流量的来源路由器数量按省份和运营商分布
4
SSDP反射攻击资源分析
(1)反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的ICMP查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年2月,SSDP反射攻击事件共涉及境内1,784,407台反射服务器,境外389,573台反射服务器。
本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占25.1%,其次是辽宁省、河北省和吉林省;按归属运营商统计,联通占的比例最大,占74.4%,电信占比23.3%,移动占比2.0%,如图9所示。
图9 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占29.7%,其次是美国、加拿大和土耳其,如图10所示。
图10 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布
本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,地址大量位于黑龙江省。
表5 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器
| 反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
| 111.X.X.27 | 黑龙江省 | 移动 |
| 111.X.X.40 | 黑龙江省 | 移动 |
| 111.X.X.203 | 黑龙江省 | 移动 |
| 111.X.X.94 | 黑龙江省 | 移动 |
| 112.X.X.26 | 黑龙江省 | 电信 |
| 112.X.X.163 | 黑龙江省 | 电信 |
| 112.X.X.18 | 黑龙江省 | 电信 |
| 112.X.X.55 | 黑龙江省 | 电信 |
| 112.X.X.4 | 黑龙江省 | 电信 |
| 123.X.X.81 | 黑龙江省 | 电信 |
| 219.X.X.198 | 黑龙江省 | 电信 |
| 222.X.X.22 | 黑龙江省 | 电信 |
| 222.X.X.130 | 黑龙江省 | 电信 |
| 222.X.X.178 | 黑龙江省 | 电信 |
| 222.X.X.81 | 黑龙江省 | 电信 |
| 222.X.X.107 | 黑龙江省 | 电信 |
| 222.X.X.124 | 黑龙江省 | 电信 |
| 222.X.X.90 | 黑龙江省 | 电信 |
| 222.X.X.26 | 黑龙江省 | 电信 |
| 222.X.X.106 | 黑龙江省 | 电信 |
| 222.X.X.34 | 黑龙江省 | 电信 |
| 222.X.X.105 | 黑龙江省 | 电信 |
| 222.X.X.29 | 黑龙江省 | 电信 |
| 39.X.X.4 | 辽宁省 | 移动 |
| 59.X.X.98 | 辽宁省 | 电信 |
| 59.X.X.101 | 辽宁省 | 电信 |
| 39.X.X.53 | 辽宁省 | 移动 |
| 219.X.X.150 | 辽宁省 | 电信 |
| 59.X.X.100 | 辽宁省 | 电信 |
| 220.X.X.145 | 西藏自治区 | 电信 |
(2)反射攻击发起流量来源路由器
2018年2月,境内SSDP反射攻击事件的发起流量主要来源于705个路由器,根据参与攻击事件的数量统计,归属于北京市电信的路由器(219.X.X.70)涉及的攻击事件最多,其次是归属于北京市电信(219.X.X.45、219.X.X.30、219.X.X.144)和天津市电信(221.X.X.1、221.X.X.2)的路由器,如表6所示。
表6 本月SSDP反射攻击事件的发起流量来源路由器按事件数量TOP25
| 反射攻击发起流量来源路由器 | 所属省份 | 所属运营商 |
| 219.X.X.70 | 北京市 | 电信 |
| 219.X.X.45 | 北京市 | 电信 |
| 219.X.X.30 | 北京市 | 电信 |
| 219.X.X.144 | 北京市 | 电信 |
| 221.X.X.1 | 天津市 | 电信 |
| 221.X.X.2 | 天津市 | 电信 |
| 211.X.X.44 | 辽宁省 | 移动 |
| 220.X.X.243 | 北京市 | 电信 |
| 220.X.X.253 | 北京市 | 电信 |
| 211.X.X.54 | 辽宁省 | 移动 |
| 211.X.X.17 | 辽宁省 | 移动 |
| 61.X.X.104 | 北京市 | 联通 |
| 61.X.X.238 | 北京市 | 联通 |
| 180.X.X.1 | 北京市 | 电信 |
| 218.X.X.6 | 北京市 | 电信 |
| 218.X.X.24 | 北京市 | 电信 |
| 61.X.X.245 | 北京市 | 联通 |
| 180.X.X.2 | 北京市 | 电信 |
| 221.X.X.253 | 广东省 | 联通 |
| 117.X.X.1 | 辽宁省 | 移动 |
| 221.X.X.1 | 安徽省 | 移动 |
| 117.X.X.2 | 北京市 | 电信 |
| 124.X.X.21 | 浙江省 | 移动 |
| 61.X.X.12 | 北京市 | 电信 |
| 124.X.X.22 | 浙江省 | 移动 |
根据发起SSDP反射攻击流量的来源路由器数量按省份统计,北京市占的比例最大,占12.5%,其次是广东省、湖南省和新疆维吾尔自治区;发起SSDP反射攻击流量的来源路由器数量按归属运营商统计,移动占的比例最大,占38.9%,电信占比33.3%,联通占比27.8%,如图11所示。
图11 本月发起SSDP反射攻击流量的来源路由器数量按省份和运营商分布反射攻击受害目标统计及治理建议
5
反射攻击受害目标统计及治理建议
CNCERT根据抽样监测分析发现,2018年2月我国境内超过1500个攻击目标遭受到DDoS反射攻击,其中,遭受memcached反射攻击的受害目标占比14.3%;遭受NTP反射攻击的受害目标占比34.7%;遭受SSDP反射攻击的受害目标占比51.0%。这些攻击目标按省份分布如图12所示,其中浙江省占比最大,占21.3%;其次是江苏省、广东省和福建省。
图12 本月遭受反射攻击的攻击目标数量按省份分布
目前,在工业和信息化部网络安全管理局的指导下,CNCERT组织各省分中心、运营商、安全企业、云服务商等持续开展DDoS攻击资源治理工作,要求各单位对发现被用于反射攻击的服务器、电脑主机和智能设备及时进行通知处理,要求运营商加强对虚假源地址流量的精细化整治工作。此外,建议用户及相关使用单位提高网络安全意识和安全防护能力,及时更新升级固件或服务程序、修复漏洞,规范安全配置。针对无需提供公开互联网服务的服务器、电脑主机和智能设备,建议直接关闭DNS、SSDP、NTP、SNMP、Chargen、Memcached等服务,或在防火墙或网络出入口上封禁外部IP访问这些服务端口。针对需要对指定IP提供服务的,可通过配置防火墙等访问控制策略允许授权IP的访问并禁止其他IP的访问,另外Memcached等部分服务也可通过更改默认服务端口或更改传输协议类型为TCP等方式来预防反射攻击。针对需要提供公开互联网服务的,可根据反射攻击的特点,对特定反射攻击指令的报文流量进行监测识别和过滤、对反射攻击的伪造源IP地址进行监测识别和限速、限流、拦截。
往期回顾
◆
◆
◆
关于利用memcached服务器实施反射DDoS攻击的情况通报
◆
◆
点击“阅读原文”查看精彩内容