本月重点关注情况

1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于河南省,其次是上海市、江苏省和广东省,按归属运营商统计,移动占的比例最大。

2、本月参与攻击较多的肉鸡地址主要位于广东省、浙江省、山东省和江苏省,其中大量肉鸡地址归属于电信运营商。2019年以来监测到的持续活跃的肉鸡资源中,位于江苏省、上海市、广东省和北京市占的比例最大。

3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、河南省和湖南省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河北省、山东省和河南省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、浙江省和吉林省;数量最多的归属运营商是联通。

4、本月转发伪造跨域攻击流量的路由器中,归属于辽宁省的路由器参与的攻击事件数量最多,2019年以来被持续利用的跨域伪造流量来源路由器中,归属于北京市、贵州省和天津市路由器数量最多。

5、本月转发伪造本地攻击流量的路由器中,归属于浙江省电信的路由器参与的攻击事件数量最多,2019年以来被持续利用的本地伪造流量来源路由器中,归属于江苏省、北京市和浙江省路由器数量最多。

攻击资源定义

本报告为2019年8月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源月度分析

1、控制端资源分析

根据CNCERT抽样监测数据,2019年8月,利用肉鸡发起DDoS攻击的控制端有555个,其中,38个控制端位于我国境内,517个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占39.5%,其次是荷兰和法国,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区分布TOP15

位于境内的控制端按省份统计,河南省占的比例最大,占15.8%,其次是上海市、江苏省和广东省;按运营商统计,移动占的比例最大,占44.7%,电信占34.2%,联通占10.5%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

本月发起攻击最多的境内控制端前二十名及归属如表1所示,位于江苏省的地址最多。

表1 本月发起攻击最多的境内控制端TOP20

控制端地址 归属省份 归属运营商或云服务商
111.XX.XX.131 天津市 移动
49.XX.XX.242 上海市 BGP多线
43.XX.XX.132 江苏省 BGP多线
114.XX.XX.49 北京市 BGP多线
182.XX.XX.134 四川省 电信
60.XX.XX.242 山东省 联通
221.XX.XX.51 吉林省 联通
122.XX.XX.151 河南省 BGP多线
129.XX.XX.3 四川省 BGP多线
36.XX.XX.247 陕西省 电信
222.XX.XX.96 江苏省 电信
121.XX.XX.87 福建省 电信
42.XX.XX.11 河南省 BGP多线
116.XX.XX.2 河南省 BGP多线
221.XX.XX.30 江苏省 电信
43.XX.XX.40 辽宁省 电信
113.XX.XX.42 吉林省 联通
118.XX.XX.207 广东省 BGP多线
139.XX.XX.127 上海市 阿里云
103.XX.XX.138 江苏省 BGP多线

2019年至今监测到的控制端中,5.3%的控制端在本月仍处于活跃状态,共计114个,其中位于我国境内的控制端数量为15个,位于境外的控制端数量为99个。持续活跃的境内控制端及归属如表2所示。

表2 2019年以来持续活跃发起DDOS攻击的境内控制端

控制端地址 归属省份 归属运营商或云服务商
129.XX.XX.3 四川省 BGP多线
118.XX.XX.207 广东省 BGP多线
47.XX.XX.212 上海市 阿里云
118.XX.XX.156 四川省 BGP多线
111.XX.XX.131 天津市 移动
43.XX.XX.40 辽宁省 电信
42.XX.XX.11 河南省 BGP多线
123.XX.XX.253 河南省 电信
125.XX.XX.75 广东省 电信
47.XX.XX.112 上海市 阿里云
114.XX.XX.49 北京市 BGP多线
122.XX.XX.151 河南省 BGP多线
139.XX.XX.127 上海市 阿里云
222.XX.XX.96 江苏省 电信
60.XX.XX.152 安徽省 电信

2、肉鸡资源分析

根据CNCERT抽样监测数据,2019年8月,共有243,077个境内肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些境内肉鸡资源按省份统计,广东省占的比例最大,为12.4%,其次是浙江省、山东省和江苏省;按运营商统计,电信占的比例最大,为50.6%,联通占39.2%,移动占9.1%,如图3所示。

图3 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的境内肉鸡地址前二十名及归属如表3所示,位于江苏省的地址最多。

表3 本月参与攻击最多的肉鸡地址TOP20

肉鸡地址 归属省份 归属运营商
218.XX.XX.53 江苏省 电信
183.XX.XX.162 广东省 电信
221.XX.XX.168 江苏省 电信
222.XX.XX.242 贵州省 电信
218.XX.XX.221 江苏省 电信
218.XX.XX.125 江苏省 电信
218.XX.XX.214 江苏省 电信
218.XX.XX.217 江苏省 电信
218.XX.XX.55 江苏省 电信
218.XX.XX.103 江苏省 电信
218.XX.XX.49 江苏省 电信
218.XX.XX.41 江苏省 电信
218.XX.XX.127 江苏省 电信
220.XX.XX.100 湖南省 电信
218.XX.XX.97 江苏省 电信
218.XX.XX.21 江苏省 电信
42.XX.XX.251 湖南省 联通
222.XX.XX.4 黑龙江省 电信
218.XX.XX.219 江苏省 电信
117.XX.XX.197 陕西省 电信

2019年至今监测到的肉鸡资源中,共计11,834个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为5,509个,位于境外的肉鸡数量为6,325个。2019年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。

表4 2019年以来被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址

肉鸡地址 归属省份 归属运营商
113.XX.XX.167 湖北省 联通
112.XX.XX.51 广东省 联通
113.XX.XX.16 陕西省 电信
14.XX.XX.241 广东省 电信
122.XX.XX.110 吉林省 联通
111.XX.XX.53 吉林省 移动
59.XX.XX.7 江西省 电信
118.XX.XX.139 吉林省 BGP多线
223.XX.XX.106 青海省 电信
61.XX.XX.99 陕西省 电信
218.XX.XX.89 江西省 电信
218.XX.XX.53 黑龙江省 BGP多线
115.XX.XX.60 浙江省 电信
61.XX.XX.112 浙江省 电信

2019年至今持续活跃的境内肉鸡资源按省份统计,江苏省占的比例最大,占33.1%,其次是上海市、广东省和北京市;按运营商统计,电信占的比例最大,占56.8%,移动占17.3%,联通占11.8%,如图4所示。

图4 2019年以来持续活跃的肉鸡数量按省份和运营商分布

3、反射攻击资源分析

根据CNCERT抽样监测数据,2019年8月,利用反射服务器发起的三类重点反射攻击共涉及1,559,097台反射服务器,其中境内反射服务器1,149,238台,境外反射服务器409,859台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有30,908台,占比2.0%,其中境内反射服务器28,392台,境外反射服务器2,516台;利用NTP反射发起反射攻击的反射服务器有387,210台,占比24.8%,其中境内反射服务器179,793台,境外反射服务器207,417台;利用SSDP反射发起反射攻击的反射服务器有1,140,979台,占比73.2%,其中境内反射服务器941,053台,境外反射服务器199,926台。

(1)Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年8月,利用Memcached服务器实施反射攻击的事件共涉及境内28,392台反射服务器,境外2,516台反射服务器。

本月境内反射服务器数量按省份统计,广东省占的比例最大,占16.1%,其次是河南省、湖南省和浙江省;按归属运营商统计,电信占的比例最大,占63.4%,移动占比29.9%,联通占比6.4%,如图5所示。

图5 本月境内Memcached反射服务器数量按省份、运营商或云服务商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占26.2%,其次是中国香港、法国和日本,如图6所示。

图6 本月境外反射服务器数量按国家或地区分布

本月被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,位于广东省的地址最多。

表5 本月境内被利用发起Memcached反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址 归属省份 归属运营商或云服务商
49.XX.XX.228 上海市 BGP多线
121.XX.XX.241 浙江省 阿里云
221.XX.XX.61 吉林省 联通
120.XX.XX.16 广东省 阿里云
120.XX.XX.56 广东省 阿里云
106.XX.XX.231 广东省 BGP多线
120.XX.XX.126 广东省 阿里云
120.XX.XX.103 广东省 阿里云
121.XX.XX.68 浙江省 阿里云
220.XX.XX.159 浙江省 电信
111.XX.XX.98 江西省 电信
121.XX.XX.37 浙江省 阿里云
120.XX.XX.22 浙江省 阿里云
140.XX.XX.118 上海市 联通
112.XX.XX.173 广东省 阿里云
120.XX.XX.196 广东省 阿里云
121.XX.XX.45 浙江省 阿里云
112.XX.XX.4 北京市 阿里云
120.XX.XX.138 浙江省 阿里云
112.XX.XX.87 广东省 阿里云
120.XX.XX.158 广东省 阿里云
123.XX.XX.197 北京市 阿里云
59.XX.XX.158 辽宁省 电信
112.XX.XX.194 浙江省 阿里云
193.XX.XX.160 广东省 BGP多线
47.XX.XX.120 浙江省 阿里云
114.XX.XX.45 北京市 联通
182.XX.XX.99 北京市 阿里云
119.XX.XX.129 广东省 BGP多线
123.XX.XX.30 北京市 阿里云

近两月被利用发起攻击的Memcached反射服务器中,共计3,478个在本月仍处于活跃状态。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,江苏占的比例最大,占24.3%,其次是广东省、上海市和北京市;按运营商统计,电信占的比例最大,占44.7%,移动占27.8%,联通占10.1%,如图7所示。

图7 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商或云服务商分布

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年8月,NTP反射攻击事件共涉及我国境内179,793台反射服务器,境外207,417台反射服务器。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,河北省占的比例最大,占27.0%,其次是山东省、河南省和山西省;按归属运营商统计,联通占的比例最大,占48.1%,移动占比25.6%,电信占比24.9%,如图8所示。

图8 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占72.3%,其次是巴西、沙特阿拉伯和墨西哥,如图9所示。

图9 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于山西省的地址最多。

表6 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30

反射服务器地址 归属省份 归属运营商
111.XX.XX.9 湖南省 移动
111.XX.XX.6 湖南省 移动
111.XX.XX.5 湖南省 移动
111.XX.XX.2 湖南省 移动
111.XX.XX.4 湖南省 移动
111.XX.XX.8 湖南省 移动
111.XX.XX.7 湖南省 移动
111.XX.XX.3 湖南省 移动
223.XX.XX.173 山东省 移动
119.XX.XX.50 宁夏回族自治区 电信
211.XX.XX.150 山西省 移动
111.XX.XX.206 山西省 移动
112.XX.XX.170 安徽省 移动
112.XX.XX.238 安徽省 移动
120.XX.XX.180 安徽省 移动
112.XX.XX.166 山东省 移动
111.XX.XX.245 山西省 移动
211.XX.XX.202 山西省 移动
111.XX.XX.62 山西省 移动
111.XX.XX.146 山西省 移动
112.XX.XX.92 山东省 移动
111.XX.XX.70 山西省 移动
111.XX.XX.71 安徽省 移动
211.XX.XX.234 山西省 移动
111.XX.XX.197 山西省 移动
117.XX.XX.86 山东省 移动
223.XX.XX.26 山东省 移动
112.XX.XX.80 安徽省 移动
111.XX.XX.30 山西省 移动
211.XX.XX.188 山西省 移动

近两月被持续利用发起攻击的NTP反射服务器中,共计93,192个在本月仍处于活跃状态,其中55,726个位于境内,37,466个位于境外。持续活跃的NTP反射服务器按省份统计,河北省占的比例最大,占19.3%,其次是山西省、山东省和河南省;按运营商统计,联通占的比例最大,占37.5%,电信占29.9%,移动占29.0%,如图10所示。

图10 近两月被持续利用发起攻击的NTP反射服务器数量按省份运营商分布

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2019年8月,SSDP反射攻击事件共涉及境内941,053台反射服务器,境外199,926台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占24.6%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占63.3%,电信占比35.2%,移动占比0.7%,如图11所示。

图11 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占17.6%,其次是中国台湾、美国和加拿大,如图12所示。

图12 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表7所示,位于湖南省的地址最多。

表7 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址 归属省份 归属运营商
116.XX.XX.190 上海市 电信
61.XX.XX.156 湖南省 电信
58.XX.XX.226 上海市 联通
220.XX.XX.45 湖南省 电信
59.XX.XX.210 山西省 电信
220.XX.XX.19 湖南省 电信
222.XX.XX.182 重庆市 电信
220.XX.XX.84 湖南省 电信
220.XX.XX.69 湖南省 电信
220.XX.XX.12 湖南省 电信
125.XX.XX.73 上海市 BGP多线
220.XX.XX.42 湖南省 电信
220.XX.XX.134 湖南省 电信
220.XX.XX.16 湖南省 电信
112.XX.XX.118 上海市 联通
220.XX.XX.43 湖南省 电信
220.XX.XX.12 湖南省 电信
219.XX.XX.138 陕西省 电信
222.XX.XX.230 重庆市 电信
220.XX.XX.149 湖南省 电信
61.XX.XX.170 重庆市 电信
222.XX.XX.198 重庆市 电信
61.XX.XX.31 陕西省 电信
218.XX.XX.35 湖南省 电信
59.XX.XX.2 山西省 电信
101.XX.XX.99 上海市 电信
219.XX.XX.146 山西省 电信
220.XX.XX.68 湖南省 电信
182.XX.XX.148 江西省 电信
219.XX.XX.60 陕西省 电信

近两月被持续利用发起攻击的SSDP反射服务器中,共计181,885个在本月仍处于活跃状态,其中103,986位于境内,77,899个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,辽宁省占的比例最大,占16.1%,其次是广东省、河北省和吉林省;按运营商统计,联通占的比例最大,占50.4%,电信占34.4%,移动占12.8%,如图13所示。

图13 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布

(4)发起伪造流量的路由器分析

1. 跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2019年8月,通过跨域伪造流量发起攻击的流量来源于47个路由器。根据参与攻击事件的数量统计,归属于辽宁省的路由器(202.XX.XX.52和202.XX.XX.180)参与的攻击事件数量最多,其次是归属于江苏省电信的路由器(221.XX.XX.5和221.XX.XX.6),如表8所示。

表8 本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量来源路由器 归属省份 归属运营商
202.XX.XX.52 辽宁省 待确认
202.XX.XX.180 辽宁省 待确认
221.XX.XX.6 江苏省 电信
221.XX.XX.5 江苏省 电信
220.XX.XX.243 北京市 电信
119.XX.XX.251 广东省 电信
220.XX.XX.253 北京市 电信
221.XX.XX.1 北京市 移动
221.XX.XX.3 北京市 移动
202.XX.XX.222 四川省 待确认
202.XX.XX.61 北京市 待确认
202.XX.XX.60 北京市 待确认
202.XX.XX.230 贵州省 待确认
202.XX.XX.17 集团 电信
202.XX.XX.16 集团 电信
219.XX.XX.70 北京市 电信
202.XX.XX.204 重庆市 电信
202.XX.XX.223 四川省 待确认
202.XX.XX.231 贵州省 待确认
202.XX.XX.237 贵州省 电信
202.XX.XX.236 贵州省 电信
202.XX.XX.205 重庆市 电信
220.XX.XX.253 河北省 联通
202.XX.XX.193 江苏省 待确认
202.XX.XX.116 天津市 待确认

跨域伪造流量涉及路由器按省份分布统计,北京市占的比例最大,占38.1%,其次是贵州省和天津市;按路由器所属运营商统计,电信占的比例最大,占36.2%,联通占比19.2%,移动占比4.3%,如图14所示。

图14 跨域伪造流量来源路由器数量按省份和运营商分布

2019年以来被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有45个在本月仍活跃,存活率为18.8%。按省份分布统计,北京市占的比例最大,占37.5%,其次是贵州省和天津市;按路由器所属运营商统计,电信占的比例最大,占35.6%,联通占比17.8%,移动占比4.4%,如图15所示。

图15 2019年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份和运营商分布

2. 本地伪造流量来源路由器

根据CNCERT抽样监测数据,2019年8月,通过本地伪造流量发起攻击的流量来源于179个路由器。根据参与攻击事件的数量统计,归属于浙江省电信的路由器(202.XX.XX.136、202.XX.XX.137、220.XX.XX.127和220.XX.XX.126)参与的攻击事件数量最多,其次是归属于江苏省电信的路由器(61.XX.XX.2和61.XX.XX.1),如表9所示。

表9 本月参与攻击最多的本地伪造流量来源路由器TOP25

本地伪造流量来源路由器 归属省份 归属运营商
202.XX.XX.136 浙江省 电信
202.XX.XX.137 浙江省 电信
220.XX.XX.127 浙江省 电信
220.XX.XX.126 浙江省 电信
61.XX.XX.2 江苏省 电信
61.XX.XX.1 江苏省 电信
61.XX.XX.220 浙江省 电信
222.XX.XX.180 上海市 电信
222.XX.XX.127 江苏省 电信
222.XX.XX.128 江苏省 电信
61.XX.XX.252 江苏省 电信
61.XX.XX.255 江苏省 电信
61.XX.XX.70 江苏省 电信
61.XX.XX.71 江苏省 电信
61.XX.XX.254 江苏省 电信
221.XX.XX.6 江苏省 电信
218.XX.XX.199 辽宁省 联通
61.XX.XX.14 北京市 联通
61.XX.XX.12 北京市 联通
221.XX.XX.5 江苏省 电信
219.XX.XX.70 北京市 电信
61.XX.XX.252 江苏省 电信
61.XX.XX.4 北京市 联通
61.XX.XX.1 北京市 联通
202.XX.XX.52 辽宁省 待确认

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占21.2%,其次是北京市和浙江省;按路由器所属运营商统计,电信占的比例最大,占58.7%,联通占比26.3%,移动占比4.5%,如图16所示。

图16 本地伪造流量来源路由器数量按省份和运营商分布

2019年以来被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有167个在本月仍活跃,存活率为29.5%。按省份统计,江苏省占的比例最大,占19.5%,其次是北京市、浙江省和四川省;按路由器所属运营商统计,电信占的比例最大,占58.4%,联通占比23.2%,移动占比3.7%,如图17所示。

图17 2019年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。