查看原文
其他

2019年5月|我国DDoS攻击资源月度分析报告

CNCERT 国家互联网应急中心CNCERT 2022-07-03

本月重点关注情况

1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于江苏省,其次是浙江省、河南省和北京市,按归属运营商统计,电信占的比例最大。

2、本月参与攻击较多的肉鸡地址主要位于广东省、江苏省、河南省和山东省,其中大量肉鸡地址归属于电信运营商。2019年以来监测到的持续活跃的肉鸡资源中,位于江苏省、福建省、浙江省和广东省占的比例最大。

3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是河南省、广东省、四川省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河北省、山东省和湖北省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、浙江省和吉林省;数量最多的归属运营商是联通。

4、本月转发伪造跨域攻击流量的路由器中,归属于江苏省电信的路由器参与的攻击事件数量最多,2019年以来被持续利用的跨域伪造流量来源路由器中,归属于北京市、江苏省和辽宁省路由器数量最多。

5、本月转发伪造本地攻击流量的路由器中,归属于湖南省联通的路由器参与的攻击事件数量最多,2019年以来被持续利用的本地伪造流量来源路由器中,归属于江苏省、广东省北京市和浙江省路由器数量最多。

攻击资源定义

本报告为2019年5月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源月度分析

1

控制端资源分析


根据CNCERT抽样监测数据,2019年5月,利用肉鸡发起DDoS攻击的控制端有257个,其中,37个控制端位于我国境内,220个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占45.9%,其次是加拿大和中国香港,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区分布TOP15

位于境内的控制端按省份统计,江苏省占的比例最大,各占24.3%,其次是浙江省、河南省和北京市;按运营商统计,电信占的比例最大,占62.2%,联通占16.2%,移动占5.4%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

本月发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于浙江省。

表1 本月发起攻击最多的境内控制端TOP20

控制端地址归属省份归属运营商或云服务商
115.X.X.186浙江省电信
222.X.X.231江苏省电信
115.X.X.236浙江省电信
222.X.X.41江苏省电信
42.X.X.96河南省联通
122.X.X.190河南省联通
114.X.X.236北京市电信
111.X.X.110河南省移动
139.X.X.127上海市阿里云
122.X.X.109浙江省电信
222.X.X.16江苏省电信
118.X.X.82上海市腾讯云
101.X.X.202北京市电信
43.X.X.11浙江省待确认
117.X.X.165北京市联通
122.X.X.124浙江省电信
61.X.X.150江苏省电信
101.X.X.113广东省阿里云
123.X.X.43河南省电信
111.X.X.74江西省电信

2019年至今监测到的控制端中,8.9%的控制端在本月仍处于活跃状态,共计75个,其中位于我国境内的控制端数量为11个,位于境外的控制端数量为64个。持续活跃的境内控制端及归属如表2所示。

表2 2019年以来持续活跃发起DDOS攻击的境内控制端

控制端地址归属省份归属运营商或云服务商
42.X.X.96河南省联通
115.X.X.17浙江省电信
61.X.X.150江苏省电信
203.X.X.155广东省电信
115.X.X.236浙江省电信
101.X.X.113广东省阿里云
123.X.X.43河南省电信
182.X.X.227上海市腾讯云
115.X.X.186浙江省电信
139.X.X.127上海市阿里云
111.X.X.74江西省电信

2

肉鸡资源分析

根据CNCERT抽样监测数据,2019年5月,共有686,081个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些肉鸡资源按省份统计,广东省占的比例最大,为16.8%,其次是江苏省、河南省和山东省;按运营商统计,电信占的比例最大,为56.9%,联通占21.8%,移动占20.4%,如图3所示。

图3 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于宁夏回族自治区的地址最多。

表3 本月参与攻击最多的肉鸡地址TOP20

肉鸡地址归属省份归属运营商
14.X.X.116广东省电信
111.X.X.34宁夏回族自治区移动
42.X.X.251湖南省联通
124.X.X..238河北省电信
124.X.X.237河北省电信
124.X.X.236河北省电信
14.X.X.114广东省电信
219.X.X.70内蒙古自治区电信
124.X.X.239河北省电信
14.X.X.117广东省电信
111.X.X.2宁夏回族自治区移动
210.X.X.115北京市联通
210.X.X.50北京市联通
120.X.X.52宁夏回族自治区移动
120.X.X.226宁夏回族自治区移动
210.X.X.229北京市联通
218.X.X.121江苏省电信
120.X.X.131宁夏回族自治区移动
14.X.X.112广东省电信
14.X.X.118广东省电信

2019年至今监测到的肉鸡资源中,共计36,022个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为19,654个,位于境外的肉鸡数量为16,368个。2019年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。

表4 2019年以来被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址

肉鸡地址归属省份归属运营商
36.X.X.125内蒙古自治区电信
122.X.X.10湖北省联通
14.X.X.41广东省电信
112.X.X.170广东省联通
58.X.X.131广东省联通
218.X.X.249广西壮族自治区电信
120.X.X.50广东省联通
112.X.X.51广东省联通
14.X.X.241广东省电信
113.X.X.167湖北省联通
113.X.X.16陕西省电信
183.X.X.50湖北省联通
119.X.X.89广东省电信
120.X.X.229宁夏回族自治区移动
118.X.X.139吉林省联通
122.X.X.110吉林省联通
117.X.X.17江西省电信
111.X.X.53吉林省移动
111.X.X.15广西壮族自治区移动
219.X.X.34辽宁省电信

2019年至今持续活跃的境内肉鸡资源按省份统计,江苏省占的比例最大,占23.1%,其次是福建省、浙江省和广东省;按运营商统计,电信占的比例最大,占57.5%,移动占26.8%,联通占11.8%,如图4所示。

图4 2019年以来持续活跃的肉鸡数量按省份和运营商分布

3

反射攻击资源分析


根据CNCERT抽样监测数据,2019年5月,利用反射服务器发起的三类重点反射攻击共涉及1,814,386台反射服务器,其中境内反射服务器1,345,333台,境外反射服务器469,053台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有24,785台,占比1.4%,其中境内反射服务器22,334台,境外反射服务器2,451台;利用NTP反射发起反射攻击的反射服务器有547,332台,占比30.2%,其中境内反射服务器317,048台,境外反射服务器230,284台;利用SSDP反射发起反射攻击的反射服务器有1,242,269台,占比68.5%,其中境内反射服务器1,005,951台,境外反射服务器236,318台。

(1)Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年5月,利用Memcached服务器实施反射攻击的事件共涉及境内22,334台反射服务器,境外2,451台反射服务器。

本月境内反射服务器数量按省份统计,河南省占的比例最大,占11.6%,其次是广东省、四川省和河北省;按归属运营商或云服务商统计,电信占的比例最大,占79.4%,移动占比11.8%,联通占比6.2%,阿里云占比1.8%,如图5所示。

图5 本月境内Memcached反射服务器数量按省份、运营商或云服务商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占33.2%,其次是俄罗斯、中国香港和法国,如图6所示。

图6 本月境外反射服务器数量按国家或地区分布

本月被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,位于浙江省的地址最多。

表5 本月境内被利用发起Memcached反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址归属省份归属运营商或云服务商
121.X.X.205广东省电信
183.X.X.174安徽省电信
139.X.X.9上海市阿里云
61.X.X.232四川省电信
223.X.X.13四川省移动
122.X.X.39浙江省电信
121.X.X.82浙江省电信
211.X.X.250湖北省联通
182.X.X.230云南省电信
59.X.X.232湖北省电信
60.X.X.82安徽省电信
116.X.X.10云南省电信
112.X.X.44云南省电信
114.X.X.200广东省电信
211.X.X.30上海市电信
139.X.X.137上海市阿里云
118.X.X.206四川省电信
120.X.X.251浙江省阿里云
139.X.X.143上海市阿里云
120.X.X.159广东省阿里云
112.X.X.223浙江省移动
122.X.X.34浙江省电信
121.X.X.40浙江省电信
223.X.X.24浙江省移动
122.X.X.7上海市待确认
121.X.X.148浙江省电信
222.X.X.246湖南省电信
60.X.X.224甘肃省电信
121.X.X.241浙江省电信
61.X.X.107甘肃省电信

近两月被利用发起攻击的Memcached反射服务器中,共计2497个在本月仍处于活跃状态。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,江苏省占的比例最大,占21.8%,其次是福建省、浙江省、广东省和上海市;按运营商或云服务统计,电信占的比例最大,占56.1%,移动占26.7%,联通占11.8%,阿里云占2.3%,如图7所示。

图7 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商或云服务商分布

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年5月,NTP反射攻击事件共涉及我国境内317,048台反射服务器,境外230,284台反射服务器。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,河北省占的比例最大,占35.6%,其次是山东省、湖北省和河南省;按归属运营商统计,联通占的比例最大,占50.9%,移动占比31.8%,电信占比17.1%,如图8所示。

图8 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占52.1%,其次是澳大利亚、巴西和美国,如图9所示。

图9 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于安徽省的地址最多。

表6 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30

反射服务器地址归属省份归属运营商
111.X.X.2湖南省移动
120.X.X.125安徽省移动
112.X.X.80安徽省移动
111.X.X.8湖南省移动
111.X.X.6湖南省移动
111.X.X.7湖南省移动
111.X.X.4湖南省移动
111.X.X.5湖南省移动
111.X.X.3湖南省移动
111.X.X.136安徽省移动
119.X.X.50宁夏回族自治区电信
183.X.X.11山西省移动
111.X.X.9湖南省移动
111.X.X.70山西省移动
183.X.X.29山西省移动
112.X.X.113安徽省移动
211.X.X.180山西省移动
111.X.X.99安徽省移动
211.X.X.78山西省移动
112.X.X.86安徽省移动
183.X.X.94山西省移动
223.X.X.173山东省移动
112.X.X.82安徽省移动
112.X.X.114安徽省移动
112.X.X.139安徽省移动
120.X.X.99安徽省移动
211.X.X.146山西省移动
120.X.X.230安徽省移动
120.X.X.44安徽省移动
120.X.X.115安徽省移动

近两月被持续利用发起攻击的NTP反射服务器中,共计190,472个在本月仍处于活跃状态,其中154,255个位于境内,36,217个位于境外。持续活跃的NTP反射服务器按省份统计,山东省占的比例最大,占25.9%,其次是河北省、河南省和湖北省;按运营商统计,移动占的比例最大,占39.4%,联通占36.6%,电信占22.9%,如图10所示。

图10 近两月被持续利用发起攻击的NTP反射服务器数量按省份运营商分布

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年5月,SSDP反射攻击事件共涉及境内1,005,951台反射服务器,境外236,318台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占24.5%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占61.4%,电信占比37.2%,移动占比1.2%,如图11所示。

图11 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占23.9%,其次是美国、中国台湾和加拿大,如图12所示。

12 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表7所示,位于江西省的地址最多。

表7 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址归属省份归属运营商
61.X.X.126宁夏回族自治区电信
59.X.X.210山西省电信
59.X.X.26山西省电信
183.X.X.188重庆市电信
222.X.X.69重庆市电信
222.X.X.66重庆市电信
59.X.X.22山西省电信
61.X.X.163江西省电信
222.X.X.146吉林省电信
182.X.X.186江西省电信
59.X.X.2山西省电信
183.X.X.236重庆市电信
220.X.X.215云南省电信
218.X.X.108江西省电信
114.X.X.10江苏省电信
59.X.X.39辽宁省电信
61.X.X.142江西省电信
59.X.X.222辽宁省电信
183.X.X.50重庆市电信
61.X.X.170重庆市电信
61.X.X.156湖南省电信
218.X.X.249江西省电信
182.X.X.11四川省电信
218.X.X.163江西省电信
182.X.X.219江西省电信
218.X.X.46江西省电信
218.X.X.133江西省电信
182.X.X.141四川省电信
60.X.X.206云南省电信
59.X.X.10山西省电信

近两月被持续利用发起攻击的SSDP反射服务器中,共计217,621个在本月仍处于活跃状态,其中104,252位于境内,113,369个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,辽宁省占的比例最大,占26.3%,其次是吉林省、浙江省和广东省;按运营商统计,联通占的比例最大,占60.9%,电信占34.9%,移动占3.7%,如图13所示。

图13 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布

(4)发起伪造流量的路由器分析

1. 跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2019年5月,通过跨域伪造流量发起攻击的流量来源于44个路由器。根据参与攻击事件的数量统计,归属于江苏省电信的路由器(221.X.X.6、221.X.X.5)参与的攻击事件数量最多,其次是归属于电信集团的路由器(202.X.X.222、202.X.X.223),如表8所示。

表8 本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量来源路由器归属省份归属运营商
221.X.X.6江苏省电信
221.X.X.5江苏省电信
202.X.X.222集团电信
202.X.X.223集团电信
220.X.X.253北京市电信
219.X.X.70北京市电信
202.X.X.180辽宁省待确认
202.X.X.52辽宁省待确认
202.X.X.17集团电信
202.X.X.16集团电信
221.X.X.2天津市电信
221.X.X.1天津市电信
202.X.X.204重庆市电信
218.X.X.6北京市电信
202.X.X.205重庆市电信
220.X.X.243北京市电信
202.X.X.193集团电信
202.X.X.192集团电信
202.X.X.118天津市待确认
202.X.X.116天津市待确认
202.X.X.136浙江省电信
211.X.X.44辽宁省移动
222.X.X.180上海市电信
220.X.X.253河北省联通
202.X.X.137浙江省电信

跨域伪造流量涉及路由器按省份分布统计,北京市占的比例最大,占22.7%,其次是江苏省和辽宁省;按路由器所属运营商统计,联通占的比例最大,占31.8%,电信占比29.5%,移动占比4.5%,如图14所示。

图14 跨域伪造流量来源路由器数量按省份和运营商分布

2019年以来被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有40个在本月仍活跃,存活率为19.0%。按省份分布统计,北京市占的比例最大,占27.8%,其次是江苏省和辽宁省;按路由器所属运营商统计,电信占的比例最大,占30.0%,联通占比27.5%,移动占比5.0%,如图15所示。

图15 2019年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份和运营商分布

2. 本地伪造流量来源路由器

根据CNCERT抽样监测数据,2019年5月,通过本地伪造流量发起攻击的流量来源于413个路由器。根据参与攻击事件的数量统计,归属于湖南省联通的路由器(110.X.X.1、110.X.X.6)参与的攻击事件数量最多,其次是归属于辽宁省电信的路由器(219.X.X.1),如表9所示。

表9 本月参与攻击最多的本地伪造流量来源路由器TOP25

本地伪造流量来源路由器归属省份归属运营商
110.X.X.1湖南省联通
110.X.X.6湖南省联通
219.X.X.1辽宁省电信
202.X.X.21上海市电信
61.X.X.255江苏省电信
61.X.X.2江苏省电信
61.X.X.1江苏省电信
221.X.X.6江苏省电信
221.X.X.5江苏省电信
124.X.X.1上海市电信
222.X.X.128江苏省电信
202.X.X.52辽宁省待确认
61.X.X.254江苏省电信
61.X.X.252江苏省电信
222.X.X.127江苏省电信
61.X.X.70江苏省电信
61.X.X.71江苏省电信
222.X.X.180上海市电信
202.X.X.17上海市电信
124.X.X.201上海市电信
202.X.X.180辽宁省待确认
220.X.X.25江西省电信
202.X.X.193江苏省待确认
202.X.X.192江苏省待确认
202.X.X.17上海市待确认

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占18.9%,其次是北京市和广东省;按路由器所属运营商统计,电信占的比例最大,占40.1%,联通占比27.6%,移动占比21.4%,如图16所示。

图16 本地伪造流量来源路由器数量按省份和运营商分布

2019年以来被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有235个在本月仍活跃,存活率为52.9%。按省份统计,江苏省占的比例最大,占16.6%,其次是广东省、北京市和浙江省;按路由器所属运营商统计,电信占的比例最大,占47.3%,移动占比24.1%,联通占比16.3%,如图17所示。

图17 2019年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

往期回顾

 2019年4月|我国DDoS攻击资源月度分析报告

► 2019年3月|我国DDoS攻击资源月度分析报告

 2019年2月|我国DDoS攻击资源月度分析报告

 2019年1月|我国DDoS攻击资源月度分析报告

 2018年我国DDoS攻击资源分析报告

► 2018年活跃DDoS攻击团伙分析报告

点击下方“阅读原文”进入官网下载完整报告

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存