查看原文
其他

2020年第四季度|我国DDoS攻击资源季度分析报告

CNCERT 国家互联网应急中心CNCERT 2022-07-02

本季度重点关注情况

1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、德国和荷兰;境内控制端按省份统计,最多位于上海市、江苏省和广东省,按归属运营商统计,使用BGP多线的控制端数量最多。

2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于安徽省、江苏省和辽宁省;按归属运营商统计,电信占比最大。

3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是河北省、河南省和湖北省;数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、辽宁省和广东省;数量最多的归属运营商是电信。

4、本季度转发伪造跨域攻击流量的路由器中,位于上海市、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于江苏省、福建省和湖南省的路由器数量最多。

攻击资源定义

本报告为2020年第4季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源分析

1

控制端资源分析


2020年第4季度CNCERT/CC监测发现,利用肉鸡发起DDoS攻击的活跃控制端有1057个,其中境外控制端占比97.3%、云平台控制端占比79.9%,如图1所示,与2020年第3季度相比境外控制端占比进一步提高。

图1 2020年第4季度发起DDoS攻击的控制端数量境内外分布和云平台占比

位于境外的控制端按国家或地区统计,排名前三位的分别为美国(43.3%)、德国(13.1%)和荷兰(10.7%),其中如图2所示。

图2 2020年第4季度发起DDoS攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计,排名前三位的分别为上海市(20.7%)、江苏省(17.2%)和广东省(13.8%);按运营商统计,BGP多线占51.7%,电信占34.5%,联通占13.8%,如图3所示。

图3 2020年第4季度发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端地址前二十名及归属如表1所示,位于上海市的地址最多。

表1 2020年第4季度发起攻击的境内控制端TOP20
控制端地址归属省份归属运营商或云服务商
119.X.X.121山东联通
47.X.X.231广东阿里云
116.X.X.29湖北电信
222.X.X.87江苏电信
122.X.X.123河南BGP多线
222.X.X.130江苏电信
222.X.X.78江苏电信
122.X.X.232上海BGP多线
119.X.X.154上海BGP多线
27.X.X.246山东联通
119.X.X.92上海BGP多线
113.X.X.30上海BGP多线
61.X.X.68浙江电信
61.X.X.9浙江电信
122.X.X.98上海BGP多线
49.X.X.243上海BGP多线
222.X.X.226江苏电信
221.X.X.239吉林联通
61.X.X.62浙江电信
36.X.X.13安徽电信

2

肉鸡资源分析

2020年第4季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡332628个,其中境内肉鸡占比92.9%、云平台肉鸡占比5.5%,如图4所示。

图4 2020年第4季度参与DDoS攻击的肉鸡数量境内外分布和云平台占比

位于境外的肉鸡按国家或地区统计,排名前三位的分别为美国(17.9%)、俄罗斯(6.7%)和巴西(6.4%),其中如图5所示。

图5 2020年第4季度参与DDoS攻击的境外肉鸡数量按国家或地区分布

位于境内的肉鸡按省份统计,排名前三位的分别为安徽省(12.6%)、江苏省(10.7%)和辽宁省(7.4%);按运营商统计,电信占63.4%,联通占31.9%,移动占2.7%,如图6所示。

图6 2020年第4季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布

参与攻击最多的境内肉鸡地址前二十名及归属如表2所示,位于北京市的地址最多。

表2 2020年第4季度参与攻击最多的境内肉鸡地址TOP20

肉鸡地址归属省份归属运营商
124.X.X.117北京BGP多线
111.X.X.145北京联通
123.X.X.121北京BGP多线
111.X.X.227北京联通
111.X.X.195北京联通
111.X.X.233北京联通
111.X.X.201北京联通
39.X.X.75广东阿里云
121.X.X.114河北联通
114.X.X.83山东阿里云
8.X.X.151中国阿里云
39.X.X.100北京阿里云
8.X.X.75中国阿里云
8.X.X.149中国阿里云
121.X.X.109浙江阿里云
8.X.X.31中国阿里云
120.X.X.234广东阿里云
115.X.X.162山东阿里云
42.X.X.102浙江阿里云
120.X.X.249广东阿里云

3

反射攻击资源分析


2020年第4季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器2915043台,其中境内反射服务器占比65.2%,Memcached反射服务器占比1.6%,NTP反射服务器占比34.0%,SSDP反射服务器占比64.4%

(1)Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

2020年第4季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器45553个,其中境内反射服务器占比94.8%、云平台反射服务器占比4.2%,如图7所示。

图7 2020年第4季度Memcached反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(36.7%)、德国(7.1%)和法国(5.8%),其中如图8所示。

图8 2020年第4季度境外Memcached反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计,排名前三位的分别为广东省(17.5%)、山东省(7.8%)和湖南省(7.1%);按运营商统计,电信占76.7%,移动占13.2%,联通占8.7%,如图9所示。

图9 2020年第4季度境内Memcached反射服务器数量按省份和运营商分布

被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示,位于北京市的地址最多。

表3 2020年第4季度被利用参与Memcached反射攻击最多的反射服务器地址Top20
反射服务器地址归属省份归属运营商或云服务商
114.X.X.107上海京东云
182.X.X.188云南电信
222.X.X.157湖南电信
223.X.X.22北京移动
115.X.X.142浙江电信
119.X.X.93北京电信
221.X.X.12内蒙古联通
113.X.X.86陕西电信
122.X.X.132浙江电信
125.X.X.203广东电信
183.X.X.143山西移动
111.X.X.98北京联通
112.X.X.44云南电信
49.X.X.241北京BGP多线
124.X.X.237北京BGP多线
106.X.X.142北京电信
117.X.X.56甘肃移动
180.X.X.3北京电信
111.X.X.22山西移动
61.X.X.62北京联通

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

2020年第4季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器991080个,其中境内反射服务器占比28.0%、云平台反射服务器占比2.0%,如图10所示,与2020年第3季度相比参与反射攻击的NTP反射服务器数量下降了74.4%。

图10 2020年第4季度NTP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计,排名前三位的分别为越南(54.1%)、巴西(11.4%)和印度(7.9%),其中如图11所示。

图11 2020年第4季度境外NTP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计,排名前三位的分别为河北省(34.8%)、河南省(10.5%)和湖北省(10.4%);按运营商统计,联通占61.5%,电信占28.0%,移动占9.1%,如图12所示。

图12 2020年第4季度境内NTP反射服务器数量按省份和运营商分布

被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示,位于宁夏省的地址最多。

表4 2020年第4季度被利用参与NTP反射攻击最多的反射服务器地址Top20

反射服务器地址归属省份归属运营商
222.X.X.80宁夏电信
119.X.X.50宁夏电信
119.X.X.246宁夏电信
211.X.X.66上海联通
122.X.X.5吉林联通
218.X.X.184内蒙古移动
202.X.X.52海南电信
220.X.X.44云南电信
218.X.X.126宁夏电信
120.X.X.147内蒙古移动
122.X.X.20吉林联通
222.X.X.19宁夏电信
220.X.X.48云南电信
61.X.X.218宁夏电信
111.X.X.92河北移动
123.X.X.40辽宁联通
222.X.X.3贵州电信
218.X.X.54宁夏电信
222.X.X.85宁夏电信
121.X.X.142河北联通

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

2020年第4季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器1878410个,其中境内反射服务器占比84.1%、云平台反射服务器占比0.2%,如图13所示。

图13 2020年第4季度SSDP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计,排名前三位的分别为俄罗斯(12.6%)、韩国(9.6%)和美国(9.1%),其中如图14所示。

图14 2020年第4季度境外SSDP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计,排名前三位的分别为浙江省(16.8%)、辽宁省(16.0%)和广东省(13.1%);按运营商统计,电信占49.8%,联通占49.0%,移动占0.5%,如图15所示。


15 2020年第4季度境内SSDP反射服务器数量按省份和运营商分布

被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示,位于上海市的地址最多。

表5 2020年第4季度被利用参与SSDP反射攻击最多的反射服务器地址Top20

反射服务器地址归属省份归属运营商
27.X.X.62上海联通
58.X.X.66上海联通
112.X.X.118上海联通
218.X.X.213黑龙江联通
222.X.X.245上海电信
58.X.X.110上海联通
140.X.X.166上海联通
60.X.X.220黑龙江联通
58.X.X.166上海联通
58.X.X.226上海联通
60.X.X.203山西联通
58.X.X.154上海联通
60.X.X.115山西联通
60.X.X.55黑龙江联通
60.X.X.210黑龙江联通
58.X.X.154上海联通
117.X.X.134上海移动
218.X.X.44安徽电信
218.X.X.126吉林联通
183.X.X.90山西移动

4

转发伪造流量的路由器分析


(1)跨域伪造流量来源路由器

2020年第4季度CNCERT/CC监测发现,转发跨域伪造流量的路由器50个;按省份统计,排名前三位的分别为上海市(27.3%)、四川省(20.5%)和江苏省(15.9%);按运营商统计,电信占80.0%,联通占12.0%,移动占8.0%,如图16所示。

图16 跨域伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计,参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示,位于上海市的地址最多。

表6 2020年第4季度参与攻击最多的跨域伪造流量来源路由器TOP20
跨域伪造流量来源路由器归属省份归属运营商
202.X.X.60北京电信
202.X.X.61北京电信
202.X.X.223四川电信
202.X.X.222四川电信
202.X.X.17上海电信
202.X.X.16上海电信
124.X.X.201上海电信
202.X.X.21上海电信
202.X.X.23上海电信
202.X.X.24上海电信
222.X.X.180上海电信
124.X.X.1上海电信
124.X.X.250上海电信
202.X.X.17上海电信
211.X.X.156上海移动
118.X.X.168四川电信
202.X.X.193江苏电信
202.X.X.194江苏电信
202.X.X.192江苏电信
202.X.X.191江苏电信

(2)本地伪造流量来源路由器

2020年第4季度CNCERT/CC监测发现,转发本地伪造流量的路由器455个;按省份统计,排名前三位的分别为江苏省(13.2%)、福建省(7.9%)和湖南省(7.5%);按运营商统计,电信占55.8%,移动占27.5%,联通占16.7%,如图17所示。

图17 2020年第4季度本地伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计,参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示,位于江苏省的地址最多。

表7 2020年第4季度参与攻击最多的本地伪造流量来源路由器TOP20

本地伪造流量来源路由器归属省份归属运营商
202.X.X.21上海电信
202.X.X.17上海电信
219.X.X.70北京电信
202.X.X.23上海电信
202.X.X.24上海电信
222.X.X.128江苏电信
222.X.X.127江苏电信
221.X.X.5江苏电信
61.X.X.2江苏电信
61.X.X.252江苏电信
61.X.X.1江苏电信
61.X.X.255江苏电信
221.X.X.6江苏电信
202.X.X.191中国电信
220.X.X.253北京电信
61.X.X.14北京联通
202.X.X.52中国电信
123.X.X.1内蒙古电信
202.X.X.180中国电信
61.X.X.12北京联通

往期回顾

 2020年第三季度|我国DDoS攻击资源季度分析报告

 2020年第二季度|我国DDoS攻击资源季度分析报告

 2020年第一季度|我国DDoS攻击资源季度分析报告

点击下方“阅读原文”进入官网下载完整报告

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存