文章来源：国家互联网应急中心CNCERT公众号

引言

1、攻击资源定义

本报告为2021年第4季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：

1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。

2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。

4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。

2、本季度重点关注情况

1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、荷兰和德国；境内控制端按省份统计，最多位于北京市、山东省和福建省，按归属运营商统计，电信占比最大，境内活跃控制端数量相比第3季度有所增加。

2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于山东省、浙江省和重庆市；按归属运营商统计，联通占比最大。

3、本季度被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、辽宁省和广东省，数量最多的归属运营商是电信。本季度被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是湖北省、浙江省和河南省，数量最多的归属运营商是电信。本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、山东省、和河北省，数量最多的归属运营商是移动。本季度被利用参与SSDP反射攻击的反射服务器最多。

4、本季度转发伪造跨域攻击流量的路由器中，位于北京市、陕西省和甘肃省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于湖南省、河南省和江苏省的路由器数量最多。

DDoS攻击资源分析

1、控制端资源分析

2021年第4季度CNCERT监测发现，利用肉鸡发起DDoS攻击的活跃控制端有549个，其中境外控制端占比95.1%、云平台控制端占比75.2%，如图1所示。境内控制端有27个，相比第3季度数量有所增加。

图1 2021年第4季度发起DDoS攻击的控制端数量境内外分布和云平台占比

位于境外的控制端按国家或地区统计，排名前三位的分别为美国（41.6%）、荷兰（10.3%）和德国（9.0%），其中如图2所示。

图2 2021年第4季度发起DDoS攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计，排名前三位的分别为北京市（25.9%）、山东省（14.8%）和福建省（7.4%）；按运营商统计，电信占25.9%，联通占22.2%，其他占51.9%，如图3所示。

图3 2021年第4季度发起DDoS攻击的境内控制端数量按省份和运营商分布

境内控制端中位于云平台的控制端共22个，其中腾讯云占32%，阿里云占18.2%，亿速云占4.5%，其他占45.5%，如图4所示。

图4 2021年第4季度参与DDoS攻击的境内云平台控制端分布

发起攻击最多的境内控制端地址前十名及归属如表1所示，位于北京市的地址最多。

表1 2021年第4季度发起攻击的境内控制端TOP10

2、肉鸡资源分析

2021年第4季度CNCERT监测发现，参与真实地址攻击（包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉鸡666515个，其中境内肉鸡占比95.1%、云平台肉鸡占比2.9%，如图5所示。

图5 2021年第4度参与DDoS攻击的肉鸡数量境内外分布和云平台占比

位于境外的肉鸡按国家或地区统计，排名前三位的分别为日本（18.2%）、美国（12.5%）和越南（6.3%），其中如图6所示。

图6 2021年第4季度参与DDoS攻击的境外肉鸡数量按国家或地区分布

位于境内的肉鸡按省份统计，排名前三位的分别为山东省（14.3%）、浙江市（10.7%）和重庆省（8.4%）；按运营商统计，联通占49.2%，电信占44.6%，移动占4.0%，其他占2.3%，如图7所示。

图7 2021年第4季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布

境内肉鸡中位于云平台的肉鸡共16053个，其中阿里云占38.3%，腾讯云占25.7%，华为云占3.7%，百度云占2.6%，其他占29.7%，如图8所示。

图8 2021年第4季度参与DDoS攻击的境内云平台肉鸡分布

参与攻击最多的境内肉鸡地址前二十名及归属如表2所示，位于广东省的地址最多。

表2 2021年第4季度参与攻击最多的境内肉鸡地址TOP20

3、反射攻击资源分析

2021年第4季度CNCERT监测发现，参与反射攻击的三类重点反射服务器1318074台，SSDP反射服务器占比77.4%， NTP反射服务器占比18.8%，Memcached反射服务器占比3.8%，其中境内反射服务器占比86.2%。

（1）SSDP反射服务器资源

SSDP反射攻击利用了SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议脆弱性，攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求，使SSDP服务器向受害者IP地址返回比原始数据包大数倍的应答数据包，从而进行反射攻击。

2021年第4季度CNCERT监测发现，参与反射攻击的SSDP反射服务器1020283个，其中境内反射服务器占比96.8%、云平台反射服务器占比0.1%，如图9所示。

图9 2021年第4季度SSDP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为加拿大（17.8%）、中国台湾（13.6%）和俄罗斯（12.7%），其中如图10所示。

图10 2021年第4季度境外SSDP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为浙江省（18.9%）、辽宁省（13.8%）和广东省（13.7%）；按运营商统计，电信占57.8%，联通占40.4%，移动占1.4%，如图11所示。

图11 2021年第4季度境内SSDP反射服务器数量按省份和运营商分布

境内的SSDP反射服务器中位于云平台的服务器共870个，其中腾讯云占6%，阿里云占5.9%，其他占88.2%，如图12所示。

图12 2021年第4季度境内云平台SSDP反射服务器分布

被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表3所示，位于吉林省的地址最多。

表3 2021年第4季度被利用参与SSDP反射攻击最多的反射服务器地址Top20

（2）NTP反射服务器资源

NTP反射攻击利用了NTP（一种通过互联网服务与计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包，使NTP服务器向受害者IP地址返回比原始数据包大数倍的数据，从而进行反射攻击。

2021年第4季度CNCERT监测发现，参与反射攻击的NTP反射服务器247537个，其中境内反射服务器占比40.2%、云平台反射服务器占比4.8%，如图13所示。

图13 2021年第4季度NTP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为越南（64.4%）、巴西（10.3%）和中国香港（2.6%），其中如图14所示。

图14 2021年第4季度境外NTP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为湖北省（22.7%）、浙江省（15.5%）和河南省（12.9%）；按运营商统计，电信占43.5%，联通占40.3%，移动占15.0%，如图15所示。

图15 2021年第4季度境内NTP反射服务器数量按省份和运营商分布

境内的NTP反射服务器中位于云平台的服务器共8203个，其中腾讯云占6.4%，华为云占0.8%，阿里云占0.4%，其他占92.4%，如图16所示。

图16 2021年第4季度境内云平台NTP反射服务器分布

被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示，位于安徽省的地址最多。

表4 2021年第4季度被利用参与NTP反射攻击最多的反射服务器地址Top20

（3）Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包，使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据，从而进行反射攻击。

2021年第4季度CNCERT监测发现，参与反射攻击的Memcached反射服务器50254个，其中境内反射服务器占比96.4%、云平台反射服务器占比2.9%，如图17所示。

图17 2021年第4季度Memcached反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为美国（19.7%）、法国（11.8%）和德国（9.1%），如图18所示。

图18 2021年第4季度境外Memcached反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为广东省（28.3%）、山东省（17.8%）和河北省（5.7%）；按运营商统计，移动占45.8%，电信占37.6%，联通占15.2%，如图19所示。

图19 2021年第4季度境内Memcached反射服务器数量按省份和运营商分布

境内的Memcached反射服务器中位于云平台的服务器共619个，其中阿里云占42.8%，腾讯云占46.3%，百度云占5%，华为云占2.4%，其他占33.4%，如图20所示。

图20 2021年第4季度境内云平台Memcached反射服务器分布

被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表5所示，位于北京市和广东省的地址最多。

表5  2021年第4季度被利用参与Memcached反射攻击最多的反射服务器地址Top20

4、转发伪造流量的路由器分析

（1）跨域伪造流量来源路由器

2021年第4季度CNCERT监测发现，转发跨域伪造流量的路由器19个；按省份统计，排名前三位的分别为北京市（47.4%）、陕西省（21.1%）和甘肃省（10.5%）；按运营商统计，电信占63.2%，联通占21.1%，移动占15.8%，如图21所示。

图21 跨域伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计，参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示，位于北京市的地址最多。

表6  2021年第4季度参与攻击最多的跨域伪造流量来源路由器TOP20

（2）本地伪造流量来源路由器

2021年第4季度CNCERT监测发现，转发本地伪造流量的路由器449个；按省份统计，排名前三位的分别为湖南省（10.7%）、河南省（9.8%）和江苏省（9.8%）；按运营商统计，电信占69.3%，联通占17.8%，移动占12.9%，如图22所示。

图22 2021年第4季度本地伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计，参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示，位于北京市的地址最多。

表7 2021年第4季度参与攻击最多的本地伪造流量来源路由器TOP20