文章来源：国家互联网应急中心CNCERT公众号

 

引言

 

1、攻击资源定义

 

本报告为2021年第2季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：

 

1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。

2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。

4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

 

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。

2、本季度重点关注情况

 

1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、德国和荷兰；境内控制端按省份统计，最多位于江苏省、浙江省和福建省，按归属运营商统计，电信占比最大。

2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于广东省、辽宁省和福建省；按归属运营商统计，电信占比最大。

3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、山东省、和四川省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是河北省、浙江省和河南省；数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。

4、本季度转发伪造跨域攻击流量的路由器中，位于广东省、四川省和上海市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于江苏省、河南省和浙江省的路由器数量最多。

DDoS攻击资源分析

 

1、控制端资源分析

 

2021年第2季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有741个，其中境外控制端占比96.6%、云平台控制端占比78.7%，如图1所示。

 

图1 2021年第2季度发起DDoS攻击的控制端数量境内外分布和云平台占比

 

位于境外的控制端按国家或地区统计，排名前三位的分别为美国（46.4%）、德国（11.3%）和荷兰（9.2%），其中如图2所示。

 

图2 2021年第2季度发起DDoS攻击的境外控制端数量按国家或地区分布

 

位于境内的控制端按省份统计，排名前三位的分别为江苏省（20.0%）、浙江省（12.0%）和福建省（8.0%）；按运营商统计，电信占40.0%，联通占8.0%，其他占52.0%，如图3所示。

 

图3 2021年第2季度发起DDoS攻击的境内控制端数量按省份和运营商分布

 

发起攻击最多的境内控制端地址前二十名及归属如表1所示，位于江苏省的地址最多。

 

表1 2021年第2季度发起攻击的境内控制端TOP20

 

2、肉鸡资源分析

 

2021年第2季度CNCERT/CC监测发现，参与真实地址攻击（包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉鸡491680个，其中境内肉鸡占比94.7%、云平台肉鸡占比2.8%，如图4所示。

 

图4 2021年第2度参与DDoS攻击的肉鸡数量境内外分布和云平台占比

 

位于境外的肉鸡按国家或地区统计，排名前三位的分别为美国（20.0%）、西班牙（12.1%）和日本（7.3%），其中如图5所示。

 

 

图5 2021年第2季度参与DDoS攻击的境外肉鸡数量按国家或地区分布

 

 

 

位于境内的肉鸡按省份统计，排名前三位的分别为广东省（9.1%）、辽宁省（9.1%）和福建省（7.0%）；按运营商统计，电信占50.8%，联通占39.3%，移动占8.4%，如图6所示。

 

图6 2021年第2季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布

 

参与攻击最多的境内肉鸡地址前二十名及归属如表2所示，位于北京市的地址最多。

 

表2 2021年第2季度参与攻击最多的境内肉鸡地址TOP20

 

3、反射攻击资源分析

 

2021年第2季度CNCERT/CC监测发现，参与反射攻击的三类重点反射服务器1988041台，其中境内反射服务器占比80.0%，Memcached反射服务器占比3.5%，NTP反射服务器占比23.7%，SSDP反射服务器占比72.8%。

 

（1）Memcached反射服务器资源

 

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包，使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据，从而进行反射攻击。

 

2021年第2季度CNCERT/CC监测发现，参与反射攻击的Memcached反射服务器69635个，其中境内反射服务器占比96.6%、云平台反射服务器占比3.1%，如图7所示。

 

图7 2021年第2季度Memcached反射服务器数量境内外分布和云平台占比

 

位于境外的反射服务器按国家或地区统计，排名前三位的分别为美国（23.0%）、德国（10.5%）和俄罗斯（5.5%），其中如图8所示。

 

图8 2021年第2季度境外Memcached反射服务器数量按国家或地区分布

 

位于境内的反射服务器按省份统计，排名前三位的分别为广东省（26.7%）、山东省（7.1%）和四川省（5.0%）；按运营商统计，电信占58.2%，移动占22.6%，联通占18.3%，如图9所示。

 

图9 2021年第2季度境内Memcached反射服务器数量按省份和运营商分布

 

被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示，位于江西省的地址最多。

 

表3 2021年第2季度被利用参与Memcached反射攻击最多的反射服务器地址TOP20

 

 

（2）NTP反射服务器资源

 

NTP反射攻击利用了NTP（一种通过互联网服务于计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包，使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据，从而进行反射攻击。

 

2021年第2季度CNCERT/CC监测发现，参与反射攻击的NTP反射服务器471247个，其中境内反射服务器占比37.5%、云平台反射服务器占比3.4%，如图10所示。

 

图10 2021年第2季度NTP反射服务器数量境内外分布和云平台占比

 

位于境外的反射服务器按国家或地区统计，排名前三位的分别为越南（46.0%）、巴西（13.4%）和中国香港（5.1%），其中如图11所示。

 

图11 2021年第2季度境外NTP反射服务器数量按国家或地区分布

 

位于境内的反射服务器按省份统计，排名前三位的分别为河北省（23.0%）、浙江省（15.5%）和河南省（13.6%）；按运营商统计，联通占47.1%，电信占41.4%，移动占10.2%，如图12所示。

 

图12 2021年第2季度境内NTP反射服务器数量按省份和运营商分布

 

被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示，位于云南省的地址最多。

 

表4 2021年第2季度被利用参与NTP反射攻击最多的反射服务器地址TOP20

 

（3）SSDP反射服务器资源

 

SSDP反射攻击利用了SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议脆弱性，攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求，使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包，从而进行反射攻击。

 

2021年第2季度CNCERT/CC监测发现，参与反射攻击的SSDP反射服务器1447159个，其中境内反射服务器占比93.1%、云平台反射服务器占比0.2%，如图13所示。

 

图13 2021年第2季度SSDP反射服务器数量境内外分布和云平台占比

 

位于境外的反射服务器按国家或地区统计，排名前三位的分别为俄罗斯（14.7%）、美国（10.3%）和韩国（8.5%），其中如图14所示。

 

 

图14 2021年第2季度境外SSDP反射服务器数量按国家或地区分布

 

位于境内的反射服务器按省份统计，排名前三位的分别为浙江省（16.8%）、广东省（14.8%）和辽宁省（13.2%）；按运营商统计，电信占53.8%，联通占44.8%，移动占0.9%，如图15所示。

 

图15 2021年第2季度境内SSDP反射服务器数量按省份和运营商分布

 

被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示，位于上海市的地址最多。

 

表5 2021年第2季度被利用参与SSDP反射攻击最多的反射服务器地址TOP20

 

4、转发伪造流量的路由器分析

 

（1）跨域伪造流量来源路由器

 

2021年第2季度CNCERT/CC监测发现，转发跨域伪造流量的路由器66个；按省份统计，排名前三位的分别为广东省（18.2%）、四川省（16.7%）和上海市（13.6%）；按运营商统计，电信占39.4%，移动占34.8%，联通占25.8%，如图16所示。

 

图16 跨域伪造流量来源路由器数量按省份和运营商分布

 

根据参与攻击事件的数量统计，参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示，位于四川省的地址最多。

 

表6 2021年第2季度参与攻击最多的跨域伪造流量来源路由器TOP20

 

（2）本地伪造流量来源路由器

 

2021年第2季度CNCERT/CC监测发现，转发本地伪造流量的路由器505个；按省份统计，排名前三位的分别为江苏省（10.7%）、河南省（9.3%）和浙江省（6.9%）；按运营商统计，电信占52.1%，移动占26.1%，联通占21.8%，如图17所示。

 

图17 2021年第2季度本地伪造流量来源路由器数量按省份和运营商分布

 

根据参与攻击事件的数量统计，参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示，位于山西省的地址最多。

表7 2021年第2季度参与攻击最多的本地伪造流量来源路由器TOP20