2018年3月|我国DDoS攻击资源分析报告
本月重点关注情况
1、本月利用memcached服务器实施反射攻击的事件整体呈下降趋势。本月被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、浙江省、和北京市;数量最多的归属运营商是电信。
2、本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是黑龙江省、河南省、和北京市;数量最多的归属运营商是联通。
3、本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、辽宁省、和河北省;数量最多的归属运营商是联通。
4、本月反射攻击发起流量来源路由器数量按省份统计排名前三名的省份是广东省、浙江省和北京市;根据转发攻击事件的数量统计,最多的路由器归属于内蒙古自治区联通和上海市联通。
攻击资源定义
本报告为2018年3月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
4、反射攻击发起流量来源路由器,指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击发起流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
DDoS攻击资源分析
1
控制端资源分析
根据CNCERT抽样监测数据,2018年3月,利用肉鸡发起DDoS攻击的控制端总量为980个,其中,340个控制端位于境内,640个控制端位于境外。
位于境外的控制端按国家或地区分布,美国占的比例最大,占55.5%,其次是中国香港和日本,如图1所示。
图1 本月发起DDoS攻击的境外控制端数量按国家或地区TOP30
位于境内的控制端按省份统计,广东省占的比例最大,占15.9%,其次是浙江省、上海市和山东省;按运营商统计,电信占的比例最大,占57.6%,联通占23.2%,移动占8.5%,如图2所示。
图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布
发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于浙江省和广东省。
表1 本月发起攻击最多的境内控制端TOP20
| 控制端地址 | 归属省份 | 归属运营商 |
| 220.X.X.54 | 湖南省 | 电信 |
| 113.X.X.61 | 广东省 | 电信 |
| 123.X.X.92 | 贵州省 | 电信 |
| 115.X.X.184 | 浙江省 | 电信 |
| 58.X.X.162 | 江苏省 | 电信 |
| 113.X.X.60 | 广东省 | 电信 |
| 58.X.X.9 | 江苏省 | 电信 |
| 221.X.X.34 | 江苏省 | 电信 |
| 115.X.X.29 | 浙江省 | 电信 |
| 101.X.X.247 | 北京市 | 电信 |
| 123.X.X.199 | 贵州省 | 电信 |
| 123.X.X.153 | 山东省 | 联通 |
| 123.X.X.12 | 贵州省 | 电信 |
| 123.X.X.56 | 上海市 | 电信 |
| 117.X.X.107 | 江西省 | 电信 |
| 58.X.X.57 | 江苏省 | 电信 |
| 58.X.X.54 | 江苏省 | 电信 |
| 58.X.X.116 | 江苏省 | 电信 |
| 123.X.X.122 | 上海市 | 电信 |
| 115.X.X.117 | 浙江省 | 电信 |
2018年1月至今监测到的控制端中,4.3%的控制端在本月仍处于活跃状态,共计128个,其中位于我国境内的控制端数量为44个,位于境外的控制端数量为84个。近三月发起DDoS攻击最多且持续活跃的境内控制端TOP20归属如表2所示,主要位于江苏省和广东省。
表2 2018年以来发起DDOS攻击次数TOP20的持续活跃境内控制端
| 控制端地址 | 归属省份 | 归属运营商或云服务商 |
| 58.X.X.162 | 江苏省 | 电信 |
| 221.X.X.34 | 江苏省 | 电信 |
| 222.X.X.64 | 江苏省 | 电信 |
| 115.X.X.184 | 浙江省 | 电信 |
| 123.X.X.153 | 山东省 | 联通 |
| 113.X.X.61 | 广东省 | 电信 |
| 112.X.X.3 | 广东省 | 阿里云 |
| 113.X.X.60 | 广东省 | 电信 |
| 123.X.X.92 | 贵州省 | 电信 |
| 58.X.X.9 | 江苏省 | 电信 |
| 123.X.X.199 | 贵州省 | 电信 |
| 220.X.X.54 | 湖南省 | 电信 |
| 101.X.X.247 | 北京市 | 电信 |
| 123.X.X.122 | 上海市 | 电信 |
| 117.X.X.107 | 江西省 | 电信 |
| 222.X.X.48 | 江苏省 | 电信 |
| 116.X.X.20 | 北京市 | 待确认 |
| 222.X.X.44 | 江苏省 | 电信 |
| 139.X.X.95 | 广东省 | 电信 |
| 115.X.X.117 | 浙江省 | 电信 |
2018年1月至今持续活跃的境内控制端按省份统计,江苏省占的比例最大,为34.1%,其次是上海市、贵州省和浙江省;按运营商统计,电信占的比例最大,为88.6%,联通占2.3%,如图3所示。
图3 2018年以来持续发起DDoS攻击的境内控制端数量按省份和运营商分布
2
肉鸡资源分析
根据CNCERT抽样监测数据,2018年3月,共有26,793个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。
这些肉鸡资源按省份统计,广东省占的比例最大,为20.4%,其次是浙江省、江苏省和山东省;按运营商统计,电信占的比例最大,为53.1%,联通占32.8%,移动占7.7%,如图4所示。
图4 本月肉鸡地址数量按省份和运营商分布
本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于浙江省的地址最多。
表3本月参与攻击最多的肉鸡地址TOP20
| 肉鸡地址 | 归属省份 | 归属运营商或云服务商 |
| 14.X.X.128 | 广东省 | 电信 |
| 118.X.X.36 | 广东省 | 阿里云 |
| 111.X.X.10 | 浙江省 | 移动 |
| 111.X.X.12 | 浙江省 | 移动 |
| 111.X.X.14 | 浙江省 | 移动 |
| 183.X.X.78 | 浙江省 | 电信 |
| 47.X.X.54 | 河北省 | 阿里云 |
| 125.X.X.100 | 福建省 | 电信 |
| 120.X.X.25 | 浙江省 | 阿里云 |
| 202.X.X.163 | 浙江省 | 电信 |
| 218.X.X.15 | 北京市 | 待确认 |
| 139.X.X.168 | 上海市 | 电信 |
| 61.X.X.34 | 江苏省 | 电信 |
| 40.X.X.137 | 北京市 | 待确认 |
| 150.X.X.174 | 山东省 | 电信 |
| 61.X.X.4 | 浙江省 | 电信 |
| 61.X.X.3 | 浙江省 | 电信 |
| 222.X.X.180 | 山东省 | 联通 |
| 60.X.X.195 | 山东省 | 联通 |
| 202.X.X.18 | 山西省 | 联通 |
2018年1月至今监测到的肉鸡资源中,共计216个肉鸡在本月仍处于活跃状态。近三月被利用发起DDoS攻击最多的肉鸡TOP30归属如表4所示。
表4近三月被利用发起DDoS攻击最多的肉鸡TOP30,且仍在本月活跃的肉鸡地址
| 肉鸡地址 | 归属省份 | 归属运营商 |
| 202.X.X.163 | 浙江省 | 电信 |
| 140.X.X.202 | 上海市 | 联通 |
| 124.X.X.212 | 安徽省 | 电信 |
| 115.X.X.247 | 浙江省 | 电信 |
| 121.X.X.195 | 河北省 | 联通 |
| 42.X.X.83 | 上海市 | 电信 |
| 183.X.X.23 | 浙江省 | 电信 |
| 210.X.X.50 | 河南省 | 电信 |
| 122.X.X.99 | 吉林省 | 联通 |
| 119.X.X.67 | 河北省 | 联通 |
| 218.X.X.26 | 浙江省 | 电信 |
| 116.X.X.123 | 云南省 | 电信 |
| 114.X.X.184 | 上海市 | 电信 |
| 116.X.X.36 | 云南省 | 电信 |
| 59.X.X.14 | 福建省 | 电信 |
| 218.X.X.28 | 山东省 | 联通 |
| 120.X.X.34 | 山东省 | 移动 |
| 61.X.X.54 | 浙江省 | 电信 |
| 101.X.X.244 | 上海市 | 电信 |
| 122.X.X.98 | 江苏省 | 联通 |
| 101.X.X.245 | 上海市 | 电信 |
| 61.X.X.2 | 浙江省 | 电信 |
| 101.X.X.243 | 上海市 | 电信 |
| 122.X.X.225 | 山东省 | 电信 |
| 125.X.X.49 | 河南省 | 联通 |
| 222.X.X.45 | 河南省 | 电信 |
| 112.X.X.165 | 浙江省 | 移动 |
| 122.X.X.163 | 浙江省 | 电信 |
| 222.X.X.74 | 黑龙江省 | 电信 |
| 219.X.X.251 | 湖北省 | 电信 |
2018年以来持续活跃的肉鸡资源按省份统计,浙江省占的比例最大,占13.0%,其次是山东省、江苏省和上海市;按运营商统计,电信占的比例最大,占62.3%,联通占20.5%,移动占13.5%,如图5所示。
图5 2018年以来持续活跃的肉鸡数量按省份和运营商分布
3
反射攻击资源分析
(1)反射服务器资源
根据CNCERT抽样监测数据,2018年3月,利用反射服务器发起的三类重点反射攻击共涉及2,035,329台反射服务器,其中境内反射服务器1,913,967台,境外反射服务器121,362台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器有39,324台,占比1.9%,其中境内反射服务器18,358台,境外反射服务器20,966台;利用NTP反射发起反射攻击的反射服务器有37,054台,占比1.8%,其中境内反射服务器3,669台,境外反射服务器33,385台;利用SSDP反射发起反射攻击的反射服务器有1,958,951台,占比96.2%,其中境内反射服务器1,891,940台,境外反射服务器67,011台。
1)memcached反射服务器资源
memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年3月,利用memcached服务器实施反射攻击的事件共涉及境内18,358台反射服务器,境外20,966台反射服务器。本月此类事件涉及的反射服务器数量趋势图,如图6所示,监测发现自3月1日开始被利用发起攻击的反射服务器数量整体呈下降趋势。
图6本月memcached反射服务器数量按天分布图
本月境内反射服务器数量按省份统计,广东省占的比例最大,占22.4%,其次是浙江省、北京市和上海市;按归属运营商或云服务商统计,电信占的比例最大,占35.6%,阿里云占比31.4%,联通占比12.5%,移动占比9.3%,如图7所示。
图7本月境内memcached反射服务器数量按省份、运营商或云服务商分布
本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占20.9%,其次是荷兰、中国香港和俄罗斯,如图8所示。
图8本月境外反射服务器数量按国家或地区分布
本月境内发起反射攻击事件数量TOP100中目前仍存活的memcached服务器及归属如表5所示,位于北京市的地址最多。
表5本月境内发起反射攻击事件数量TOP100中仍存活的memcached服务器TOP30
| 反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
| 202.X.X.189 | 吉林省 | 联通 |
| 123.X.X.107 | 广东省 | 电信 |
| 61.X.X.87 | 北京市 | 联通 |
| 52.X.X.158 | 北京市 | 待确认 |
| 103.X.X.142 | 湖南省 | 联通 |
| 58.X.X.8 | 湖南省 | 联通 |
| 202.X.X.240 | 新疆维吾尔自治区 | 电信 |
| 114.X.X.253 | 北京市 | 联通 |
| 211.X.X.248 | 北京市 | 电信 |
| 121.X.X.197 | 北京市 | 联通 |
| 218.X.X.76 | 广西壮族自治区 | 电信 |
| 61.X.X.137 | 北京市 | 联通 |
| 219.X.X.220 | 北京市 | 电信 |
| 52.X.X.66 | 北京市 | 待确认 |
| 180.X.X.106 | 上海市 | 电信 |
| 202.X.X.108 | 北京市 | 联通 |
| 54.X.X.56 | 北京市 | 电信 |
| 211.X.X.171 | 北京市 | 电信 |
| 175.X.X.214 | 湖南省 | 电信 |
| 119.X.X.18 | 广东省 | 联通 |
| 116.X.X.116 | 河南省 | 联通 |
| 106.X.X.51 | 北京市 | 电信 |
| 116.X.X.17 | 北京市 | 待确认 |
| 150.X.X.100 | 天津市 | 联通 |
| 183.X.X.166 | 上海市 | 移动 |
| 59.X.X.236 | 北京市 | 联通 |
| 43.X.X.117 | 北京市 | 联通 |
| 218.X.X.252 | 浙江省 | 联通 |
| 116.X.X.167 | 河南省 | 联通 |
2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年3月,NTP反射攻击事件共涉及我国境内3,669台反射服务器,境外33,385台反射服务器。
本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,黑龙江省占的比例最大,占13.5%,其次是河南省、北京市和河北省;按归属运营商统计,联通占的比例最大,占44.1%,电信占比40.4%,移动占比11.3%,如图9所示。
图9本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占12.9%,其次是美国、土耳其和中国台湾,如图10所示。
图10本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布
本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于新疆维吾尔自治区和吉林省的地址最多。
表6本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 60.X.X.134 | 河北省 | 联通 |
| 122.X.X.170 | 江苏省 | 联通 |
| 221.X.X.37 | 河南省 | 移动 |
| 220.X.X.54 | 安徽省 | 联通 |
| 119.X.X.37 | 四川省 | 联通 |
| 111.X.X.30 | 贵州省 | 联通 |
| 61.X.X.59 | 河南省 | 联通 |
| 202.X.X.70 | 新疆维吾尔自治区 | 电信 |
| 60.X.X.118 | 新疆维吾尔自治区 | 联通 |
| 218.X.X.14 | 山东省 | 联通 |
| 120.X.X.16 | 浙江省 | 移动 |
| 218.X.X.126 | 广西省 | 电信 |
| 61.X.X.24 | 北京市 | 联通 |
| 125.X.X.194 | 吉林省 | 联通 |
| 122.X.X.53 | 浙江省 | 电信 |
| 119.X.X.3 | 四川省 | 联通 |
| 119.X.X.198 | 吉林省 | 联通 |
| 221.X.X.10 | 黑龙江省 | 联通 |
| 60.X.X.12 | 新疆维吾尔自治区 | 联通 |
| 60.X.X.158 | 黑龙江省 | 联通 |
| 202.X.X.14 | 吉林省 | 联通 |
| 117.X.X.61 | 天津市 | 联通 |
| 60.X.X.126 | 新疆维吾尔自治区 | 联通 |
| 122.X.X.4 | 吉林省 | 联通 |
| 123.X.X.82 | 北京市 | 联通 |
| 60.X.X.158 | 新疆维吾尔自治区 | 联通 |
| 124.X.X.22 | 北京市 | 联通 |
| 220.X.X.210 | 广西省 | 电信 |
| 203.X.X.100 | 湖南省 | 联通 |
| 61.X.X.174 | 山东省 | 联通 |
3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年3月,SSDP反射攻击事件共涉及境内1,891,940台反射服务器,境外67,011台反射服务器。
本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占25.0%,其次是辽宁省、河北省和浙江省;按归属运营商统计,联通占的比例最大,占73.7%,电信占比23.8%,移动占比2.3%,如图11所示。
图11本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占23.5%,其次是美国、土耳其和加拿大,如图12所示。
图12本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布
本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表7所示,地址大量位于黑龙江省。
表7本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 219.X.X.198 | 黑龙江省 | 电信 |
| 222.X.X.90 | 黑龙江省 | 电信 |
| 112.X.X.26 | 黑龙江省 | 电信 |
| 222.X.X.16 | 黑龙江省 | 电信 |
| 222.X.X.34 | 黑龙江省 | 电信 |
| 112.X.X.49 | 黑龙江省 | 电信 |
| 222.X.X.178 | 黑龙江省 | 电信 |
| 111.X.X.75 | 黑龙江省 | 移动 |
| 219.X.X.94 | 黑龙江省 | 电信 |
| 222.X.X.169 | 黑龙江省 | 电信 |
| 123.X.X.162 | 黑龙江省 | 电信 |
| 111.X.X.199 | 黑龙江省 | 移动 |
| 222.X.X.3 | 黑龙江省 | 电信 |
| 111.X.X.2 | 黑龙江省 | 移动 |
| 111.X.X.123 | 黑龙江省 | 移动 |
| 112.X.X.214 | 黑龙江省 | 电信 |
| 111.X.X.8 | 黑龙江省 | 移动 |
| 111.X.X.15 | 黑龙江省 | 移动 |
| 111.X.X.118 | 黑龙江省 | 移动 |
| 112.X.X.55 | 黑龙江省 | 电信 |
| 111.X.X.75 | 黑龙江省 | 移动 |
| 111.X.X.6 | 黑龙江省 | 移动 |
| 112.X.X.158 | 黑龙江省 | 电信 |
| 111.X.X.40 | 黑龙江省 | 移动 |
| 123.X.X.50 | 黑龙江省 | 电信 |
| 117.X.X.196 | 新疆维吾尔自治区 | 移动 |
| 117.X.X.109 | 广西壮族自治区 | 移动 |
| 111.X.X.29 | 广西壮族自治区 | 移动 |
| 125.X.X.218 | 青海省 | 电信 |
| 124.X.X.210 | 西藏自治区 | 电信 |
(2)反射攻击发起流量来源路由器
2018年3月,境内反射攻击事件的发起流量主要来源于1383个路由器,根据参与攻击事件的数量统计,归属于内蒙古自治区联通(218.X.X.248、218.X.X.253、218.X.X.240)的路由器涉及的攻击事件最多,其次是归属于上海市联通(112.X.X.39)的路由器,如表8所示。
表8本月反射攻击事件的发起流量来源路由器按事件数量TOP25
| 反射攻击发起流量来源路由器 | 所属省份 | 所属运营商 |
| 218.X.X.248 | 内蒙古自治区 | 联通 |
| 218.X.X.253 | 内蒙古自治区 | 联通 |
| 218.X.X.240 | 内蒙古自治区 | 联通 |
| 112.X.X.39 | 上海市 | 联通 |
| 211.X.X.205 | 上海市 | 移动 |
| 211.X.X.203 | 上海市 | 移动 |
| 218.X.X.225 | 广西壮族自治区 | 移动 |
| 221.X.X.253 | 广东省 | 联通 |
| 202.X.X.21 | 上海市 | 电信 |
| 221.X.X.254 | 广东省 | 联通 |
| 218.X.X.254 | 黑龙江省 | 移动 |
| 202.X.X.23 | 上海市 | 电信 |
| 211.X.X.3 | 浙江省 | 移动 |
| 218.X.X.255 | 黑龙江省 | 移动 |
| 211.X.X.1 | 海南省 | 移动 |
| 124.X.X.21 | 浙江省 | 联通 |
| 124.X.X.22 | 浙江省 | 联通 |
| 113.X.X.254 | 广东省 | 电信 |
| 113.X.X.253 | 广东省 | 电信 |
| 218.X.X.251 | 陕西省 | 电信 |
| 202.X.X.181 | 黑龙江省 | 电信 |
| 221.X.X.1 | 天津市 | 电信 |
| 202.X.X.180 | 黑龙江省 | 电信 |
| 221.X.X.2 | 天津市 | 电信 |
| 220.X.X.127 | 浙江省 | 电信 |
根据发起反射攻击流量的来源路由器数量按省份统计,广东省占的比例最大,占21.8%,其次是浙江省、北京市和上海市;发起反射攻击流量的来源路由器数量按归属运营商统计,移动占的比例最大,占35.5%,电信占比29.9%,联通占比13.1%,如图13所示。
图13本月发起反射攻击流量的来源路由器数量按省份和运营商分布
往期回顾
◆
2018年2月|我国DDoS攻击资源分析报告(反射攻击专题)
◆
◆
关于利用memcached服务器实施反射DDoS攻击的情况通报
◆
◆