设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

CNCERT 2018年7月我国DDoS攻击资源分析报告

2018-8-19 14:14| 发布者: 随便、先森。| 查看: 1274| 评论: 0|来自: 国家互联网应急中心

摘要: 本月重点关注情况1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端美国占的比例最大,其次是希腊和法国;境内控制端最多位于浙江省,其次是北京市、江苏省和贵州省,按归属运营商统计,电信占的比例最大。2、本月 ...

本月重点关注情况

1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端美国占的比例最大,其次是希腊和法国;境内控制端最多位于浙江省,其次是北京市、江苏省和贵州省,按归属运营商统计,电信占的比例最大。

2、本月参与攻击较多的肉鸡地址主要位于山东省、江苏省、浙江省和河南省,其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中,位于江苏省、山东省、浙江省占的比例最大。

3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、江苏省和山东省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是湖北省、山东省和河北省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、江苏省和浙江省;数量最多的归属运营商是联通。

4、转发伪造跨域攻击流量的路由器中,归属于四川省电信的路由器参与的攻击事件数量最多,2018年以来被持续利用的跨域伪造流量来源路由器中,归属于河南省、安徽省和河北省路由器数量最多。

5、转发伪造本地攻击流量的路由器中,归属于山西省电信的路由器参与的攻击事件数量最多,2018年以来被持续利用的本地伪造流量来源路由器中,归属于江苏省、山东省、河南省和湖南省路由器数量最多。

攻击资源定义

本报告为2018年7月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS 攻击资源分析

(一)控制端资源分析

根据CNCERT抽样监测数据,2018年7月,利用肉鸡发起DDoS攻击的控制端有316个,其中,28个控制端位于我国境内,288个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占39.9%,其次是希腊和法国,如图1所示。

图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计,浙江省占的比例最大,占35.7%,其次是北京市、江苏省和贵州省;按运营商统计,电信占的比例最大,占78.6%,联通占3.6%,如图2所示。

图 2 本月发起 DDoS 攻击的境内控制端数量按省份和运营商分布 

发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于浙江省和江苏省。

表 1 本月发起攻击最多的境内控制端 TOP20 

控制端地址归属省份归属运营商或云服务商
222.X.X.232江苏省电信
123.X.X.120贵州省电信
121.X.X.56河北省联通
222.X.X.34江苏省电信
211.X.X.89四川省电信
222.X.X.192江苏省电信
101.X.X.144北京市电信
222.X.X.88江苏省电信
183.X.X.241浙江省电信
115.X.X.241浙江省电信
115.X.X.116浙江省电信
115.X.X.176浙江省电信
139.X.X.51上海市阿里云
111.X.X.195贵州省电信
122.X.X.165浙江省电信
115.X.X.222浙江省电信
180.X.X.16江苏省电信
115.X.X.168浙江省电信
101.X.X.115上海市阿里云
118.X.X.50广东省电信


2018年1月至今监测到的控制端中,8.4%的控制端在本月仍处于活跃状态,共计66个,其中位于我国境内的控制端数量为5个,位于境外的控制端数量为61个。持续活跃的境内控制端及归属如表2所示。

表 2 2018 年以来持续活跃发起 DDOS 攻击的境内控制端

控制端地址归属省份归属运营商或云服务商
211.X.X.89四川省电信
122.X.X.165浙江省电信
222.X.X.88江苏省电信
118.X.X.50广东省电信
139.X.X.51上海市阿里云


(二)肉鸡资源分析

根据CNCERT抽样监测数据,2018年7月,共有189,082个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些肉鸡资源按省份统计,山东省占的比例最大,为15.4%,其次是江苏省、浙江省和河南省;按运营商统计,电信占的比例最大,为52.4%,联通占32.7%,移动占12.3%,如图3所示。

图 3 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于北京市和河南省的地址最多。

表 3 本月参与攻击最多的肉鸡地址 TOP20

肉鸡地址归属省份归属运营商
117.X.X.3陕西省电信
120.X.X.27新疆维吾尔族自治区电信
118.X.X.177北京市联通
123.X.X.32内蒙古自治区电信
125.X.X.28河南省联通
221.X.X.129内蒙古自治区联通
202.X.X.138新疆维吾尔族自治区电信
61.X.X.243内蒙古自治区联通
118.X.X.125北京市联通
124.X.X.2河南省联通
122.X.X.238河南省联通
61.X.X.114河南省联通
123.X.X.20北京市联通
183.X.X.66山西省移动
52.X.X.44北京市待确认
125.X.X.214北京市联通
183.X.X.52湖北省联通
139.X.X.208北京市待确认
112.X.X.2河南省移动
139.X.X.141上海市电信


2018年1月至今监测到的肉鸡资源中,共计31,224个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为27,498个,位于境外的肉鸡数量为3,726个。2018年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。

表 4 2018 年以来被利用发起 DDoS 攻击数量排名 TOP20,且在本月持续活跃的肉鸡地址

肉鸡地址归属省份归属运营商
122.X.X.13河南省联通
111.X.X.69河南省移动
1.X.X.170北京市电信
118.X.X.186甘肃省电信
58.X.X.135山东省电信
140.X.X.251上海市联通
58.X.X.26江苏省电信
221.X.X.156江苏省电信
39.X.X.9云南省移动
111.X.X.53吉林省移动
218.X.X.185新疆维吾尔族自治区电信
39.X.X.8云南省移动
60.X.X.174新疆维吾尔族自治区联通
211.X.X.78上海市联通
61.X.X.28甘肃省电信
39.X.X.4云南省移动
202.X.X.138新疆维吾尔族自治区电信
219.X.X.203贵州省电信
175.X.X.251湖南省电信
183.X.X.15河北省移动


2018年1月至今持续活跃的境内肉鸡资源按省份统计,江苏省占的比例最大,占26.9%,其次是山东省、浙江省和广东省;按运营商统计,电信占的比例最大,占59.5%,联通占26.2%,移动占8.6%,如图4所示。

图 4 2018 年以来持续活跃的肉鸡数量按省份和运营商分布


(三)反射攻击资源分析根据 

根据CNCERT抽样监测数据,2018年7月,利用反射服务器发起的三类重点反射攻击共涉及3,358,693台反射服务器,其中境内反射服务器3,126,873台,境外反射服务器231,820台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有108,124台,占比3.2%,其中境内反射服务器105,376台,境外反射服务器2,748台;利用NTP反射发起反射攻击的反射服务器有530,943台,占比15.8%,其中境内反射服务器440,820台,境外反射服务器90,123台;利用SSDP反射发起反射攻击的反射服务器有2,719,626台,占比81.0%,其中境内反射服务器2,580,677台,境外反射服务器138,949台。

(1)memcached 反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年7月,利用Memcached服务器实施反射攻击的事件共涉及境内105,376台反射服务器,境外2,748台反射服务器。

本月境内反射服务器数量按省份统计,广东省占的比例最大,占15.6%,其次是江苏省、山东省和四川省;按归属运营商或云服务商统计,电信占的比例最大,占60.9%,移动占比24.5%,联通占比10.3%,阿里云占比1.0%,如图5所示。

图 5 本月境内 memcached 反射服务器数量按省份、运营商或云服务商分布 

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占38.7%,其次是中国香港、加拿大和法国,如图6所示。

图 6 本月境外反射服务器数量按国家或地区分布 

本月境内发起反射攻击事件数量TOP100中目前仍存活的Memcached服务器及归属如表5所示,位于北京市的地址最多。

表 5 本月境内发起反射攻击事件数量 TOP100 中仍存活的 memcached 服务器 TOP30

反射服务器地址归属省份归属运营商或云服务商
123.X.X.24北京市阿里云
123.X.X.237北京市阿里云
202.X.X.240新疆维吾尔族自治区电信
60.X.X.20北京市阿里云
123.X.X.81北京市阿里云
101.X.X.82北京市阿里云
101.X.X.55北京市阿里云
182.X.X.209北京市阿里云
101.X.X.42北京市阿里云
60.X.X.44北京市阿里云
123.X.X.233北京市阿里云
182.X.X.107北京市阿里云
123.X.X.12贵州省电信
47.X.X.135浙江省阿里云
123.X.X.197北京市阿里云
112.X.X.4江苏省移动
183.X.X.18广东省电信
112.X.X.84北京市阿里云
101.X.X.74北京市阿里云
123.X.X.76北京市阿里云
123.X.X.195北京市阿里云
182.X.X.143北京市阿里云
116.X.X.10云南省电信
182.X.X.77北京市阿里云
218.X.X.215上海市电信
123.X.X.151北京市阿里云
123.X.X.41北京市阿里云
101.X.X.114北京市阿里云
101.X.X.71北京市阿里云

近两月被利用发起攻击的Memcached反射服务器中,共计4,538个在本月仍处于活跃状态,其中3,129个位于境内,1,409个位于境外。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,广东省占的比例最大,占16.4%,其次是山东省、北京市和浙江省;按运营商或云服务统计,电信占的比例最大,占26.2%,阿里云占20.5%,移动占19.1%,联通占17.6%,如图7所示。

图 7 近两月被持续利用发起攻击的 memcached 反射服务器数量按省份运营商或云服务商分布


(2)NTP 反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年7月,NTP反射攻击事件共涉及我国境内440,820台反射服务器,境外90,123台反射服务器。被利用发起攻击的NTP反射服务器总量较上月有一定数量的回落。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,湖北省占的比例最大,占27.0%,其次是山东省、河北省和河南省;按归属运营商统计,联通占的比例最大,占38.1%,移动占比32.8%,电信占比23.7%,如图8所示。

图 8 本月被利用发起 NTP 反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,澳大利亚占的比例最大,占76.5%,其次是美国、巴基斯坦和印度,如图9所示。

图 9 本月被利用发起 NTP 反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于北京市和上海市的地址最多。

表 6 本月境内被利用发起 NTP 反射攻击的反射服务器按涉事件数量 TOP30 

反射服务器地址归属省份归属运营商或云服务商
153.X.X.138江苏省联通
123.X.X.118北京市阿里云
120.X.X.185广东省阿里云
112.X.X.211广东省阿里云
139.X.X.137上海市阿里云
139.X.X.145上海市阿里云
121.X.X.110浙江省阿里云
120.X.X.108广东省阿里云
120.X.X.158广东省阿里云
113.X.X.112广东省电信
101.X.X.157北京市阿里云
120.X.X.21广东省阿里云
120.X.X.196广东省阿里云
101.X.X.68北京市阿里云
123.X.X.33北京市阿里云
121.X.X.249浙江省电信
120.X.X.157广东省阿里云
123.X.X.51北京市阿里云
115.X.X.147山东省阿里云
120.X.X.191广东省阿里云
115.X.X.204山东省阿里云
120.X.X.46广东省阿里云
121.X.X.173浙江省阿里云
139.X.X.92上海市阿里云
120.X.X.219广东省阿里云
101.X.X.236北京市阿里云
182.X.X.75北京市阿里云
218.X.X.129浙江省阿里云
115.X.X.117山东省阿里云
119.X.X.60广东省阿里云

近两月被持续利用发起攻击的NTP反射服务器中,共计95,356个在本月仍处于活跃状态,其中91,116个位于境内,4,240个位于境外。持续活跃的NTP反射服务器按省份统计,湖北省占的比例最大,占47.3%,其次是湖南省、宁夏回族自治区和河南省;按运营商统计,联通占的比例最大,占50.0%,电信占24.9%,移动占11.2%,如图10所示。

图 10 近两月被持续利用发起攻击的 NTP 反射服务器数量按省份运营商分布


(3)SSDP 反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年7月,SSDP反射攻击事件共涉及境内2,580,677台反射服务器,境外138,949台反射服务器。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占18.4%,其次是江苏省、浙江省和广东省;按归属运营商统计,联通占的比例最大,占54.1%,电信占比41.9%,移动占比3.5%,如图11所示。

图 11 本月被利用发起 SSDP 反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,中国台湾占的比例最大,占68.7%,其次是美国、加拿大和韩国,如图12所示。

图 12 本月被利用发起 SSDP 反射攻击的境外反射服务器数量按国家或地区或地区分布 

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP20的反射服务器及归属如表7所示,位于黑龙江和宁夏回族自治区的地址最多。

表 7 本月境内被利用发起 SSDP 反射攻击事件数量中排名 TOP20 的反射服务器

反射服务器地址归属省份归属运营商
111.X.X.38宁夏回族自治区移动
218.X.X.156宁夏回族自治区移动
111.X.X.58黑龙江省移动
111.X.X.36黑龙江省移动
218.X.X.90宁夏回族自治区电信
211.X.X.12河北省移动
111.X.X.30黑龙江省移动
111.X.X.186黑龙江省移动
119.X.X.178宁夏回族自治区电信
111.X.X.132吉林省移动
124.X.X.55宁夏回族自治区电信
218.X.X.45湖北省移动
111.X.X.5湖北省移动
183.X.X.104湖南省移动
111.X.X.6黑龙江省移动
223.X.X.15湖北省移动
111.X.X.146宁夏回族自治区电信
223.X.X.97湖北省移动
220.X.X.104湖南省电信
111.X.X.34黑龙江省移动
111.X.X.165黑龙江省移动
211.X.X.166湖南省移动
111.X.X.145黑龙江省移动
218.X.X.214宁夏回族自治区电信
111.X.X.188河北省移动
120.X.X.190宁夏回族自治区移动
111.X.X.123黑龙江省移动
111.X.X.67黑龙江省移动
222.X.X.100湖南省电信
111.X.X.30宁夏回族自治区电信

近两月被持续利用发起攻击的SSDP反射服务器中,共计327,312个在本月仍处于活跃状态,其中315,893个位于境内,11,419个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,辽宁省省占的比例最大,占18.7%,其次是湖北省、吉林省和广东省;按运营商统计,联通占的比例最大,占62.4%,电信占26.7%,移动占6.6%,如图13所示。

图 13 近两月被持续利用发起攻击的 SSDP 反射服务器数量按省份运营商分布


(四)发起伪造流量的路由器分析

1. 跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2018年7月,通过跨域伪造流量发起攻击的流量来源于85个路由器。根据参与攻击事件的数量统计,归属于四川省电信的路由器(202.X.X.67)参与的攻击事件数量最多,其次是归属于江苏省电信(222.x.x.128)的路由器,如表8所示。

表 8 本月参与攻击最多的跨域伪造流量来源路由器 TOP25

跨域伪造流量来源路由器归属省份归属运营商
202.X.X.67四川省电信
222.X.X.128江苏省电信
202.X.X.66四川省电信
183.X.X.254广东省电信
202.X.X.64四川省电信
183.X.X.254广东省电信
202.X.X.65四川省电信
120.X.X.1安徽省移动
120.X.X.2安徽省移动
211.X.X.254河南省移动
202.X.X.65四川省电信
221.X.X.2河南省移动
61.X.X.42湖南省电信
61.X.X.22湖南省电信
202.X.X.241江苏省电信
153.X.X.1江苏省联通
61.X.X.22陕西省电信
61.X.X.21陕西省电信
222.X.X.127江苏省电信
221.X.X.6江苏省移动
221.X.X.5江苏省移动
221.X.X.1江苏省移动
202.X.X.243河北省联通
61.X.X.102河北省联通
153.X.X.2江苏省联通

跨域伪造流量涉及路由器按省份分布统计,河南省占的比例最大,占37.6%,其次是安徽省和河北省;按路由器所属运营商统计,联通占的比例最大,占76.5%,电信占比17.6%,移动占比5.9%,如图14所示。

图 14 跨域伪造流量来源路由器数量按省份和运营商分布 

2018年度被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有61个在本月仍活跃,存活率为71.8%。按省份分布统计,河南省占的比例最大,占44.3%,其次是安徽省和江苏省;按路由器所属运营商统计,移动占的比例最大,占77.1%,电信占比18.0%,联通占比4.9%,如图15所示。

图 15 2018 年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份和运营商分布 


2. 本地伪造流量来源路由器

根据CNCERT抽样监测数据,2018年7月,通过本地伪造流量发起攻击的流量来源于807个路由器。根据参与攻击事件的数量统计,归属于山西省电信的路由器(219.X.X.2、219.X.X.10)参与的攻击事件数量最多,其次是归属于北京市电信的路由器(220.X.X.253、220.X.X.243),如表9所示。

表 9 本月参与攻击最多的本地伪造流量来源路由器 TOP25

本地伪造流量来源路由器归属省份归属运营商
219.X.X.2山西省电信
219.X.X.10山西省电信
220.X.X.253北京市电信
220.X.X.243北京市电信
211.X.X.19贵州省移动
218.X.X.176贵州省移动
218.X.X.177贵州省移动
211.X.X.254河南省移动
211.X.X.253河南省移动
221.X.X.1河南省移动
221.X.X.2河南省移动
211.X.X.20贵州省移动
222.X.X.16新疆维吾尔族自治区电信
222.X.X.15新疆维吾尔族自治区电信
220.X.X.127浙江省电信
220.X.X.126浙江省电信
118.X.X.169四川省电信
150.X.X.1山东省电信
150.X.X.2山东省电信
61.X.X.8浙江省电信
61.X.X.4浙江省电信
222.X.X.122福建省电信
112.X.X.2云南省电信
123.X.X.2内蒙古自治区电信
222.X.X.121福建省电信

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占10.7%,其次是山东省、河南省和湖南省;按路由器所属运营商统计,电信占的比例最大,占39.8%,移动占比38.7%,联通占比21.3%,如图16所示。

图 16 本地伪造流量来源路由器数量按省份和运营商分布 

2018年被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有688个在本月仍活跃,存活率为85.3%。按省份统计,江苏省占的比例最大,占10.6%,其次是湖南省、北京市和广东省;按路由器所属运营商统计,电信占的比例最大,占43.9%,移动占比33.6%,联通占比22.2%,如图17所示。

图 17 2018 年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布


阅读原文,请访问:http://www.cert.org.cn/publish/main/upload/File/2018DDoS7.pdf


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • Shadowsocks 一键安装脚本
  • CNCERT 2018年8月我国DDoS
  • 没有中间商赚差价的黑客服
  • 创业耗费百万,为何DDoS如
  • 黑镜调查:深渊背后的真相
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
ddos网页端平台源码 汉化版 响应式
ddos网页端平台源码
ddos网页端平台源码 汉化版 响应式 注意:这只是ddos网页端平台源码 要和前面发的API
返回顶部