文章來(lái)源:國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT公眾號(hào)
引言
1��、攻擊資源定義
本報(bào)告為2021年第2季度的DDoS攻擊資源分析報(bào)告��。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問(wèn)題���,基于CNCERT監(jiān)測(cè)的DDoS攻擊事件數(shù)據(jù)進(jìn)行抽樣分析,重點(diǎn)對(duì)“DDoS攻擊是從哪些網(wǎng)絡(luò)資源上發(fā)起的”這個(gè)問(wèn)題進(jìn)行分析����。主要分析的攻擊資源包括:
1、控制端資源��,指用來(lái)控制大量的僵尸主機(jī)節(jié)點(diǎn)向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸網(wǎng)絡(luò)控制端���。
2、肉雞資源�����,指被控制端利用,向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸主機(jī)節(jié)點(diǎn)�。
3、反射服務(wù)器資源��,指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器���、主機(jī)等設(shè)施���,它們提供的某些網(wǎng)絡(luò)服務(wù)(如DNS服務(wù)器,NTP服務(wù)器等)����,不需要進(jìn)行認(rèn)證并且具有放大效果,又在互聯(lián)網(wǎng)上大量部署���,從而成為被利用發(fā)起DDoS反射攻擊的網(wǎng)絡(luò)資源�����。
4�����、跨域偽造流量來(lái)源路由器�,是指轉(zhuǎn)發(fā)了大量任意偽造IP攻擊流量的路由器。由于我國(guó)要求運(yùn)營(yíng)商在接入網(wǎng)上進(jìn)行源地址驗(yàn)證�����,因此跨域偽造流量的存在���,說(shuō)明該路由器或其下路由器的源地址驗(yàn)證配置可能存在缺陷�,且該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備��。
5���、本地偽造流量來(lái)源路由器����,是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域IP攻擊流量的路由器����。說(shuō)明該路由器下的網(wǎng)絡(luò)中存在發(fā)動(dòng)DDoS攻擊的設(shè)備。
在本報(bào)告中����,一次DDoS攻擊事件是指在經(jīng)驗(yàn)攻擊周期內(nèi)���,不同的攻擊資源針對(duì)固定目標(biāo)的單個(gè)DDoS攻擊����,攻擊周期時(shí)長(zhǎng)不超過(guò)24小時(shí)。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊�,但間隔為24小時(shí)或更多,則該事件被認(rèn)為是兩次攻擊�����。此外�����,DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址���,它們的地理位置由它的IP地址定位得到����。
2��、本季度重點(diǎn)關(guān)注情況
1�����、本季度利用肉雞發(fā)起攻擊的活躍控制端中,境外控制端按國(guó)家和地區(qū)統(tǒng)計(jì)����,最多位于美國(guó)、德國(guó)和荷蘭��;境內(nèi)控制端按省份統(tǒng)計(jì)�����,最多位于江蘇省���、浙江省和福建省����,按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)����,電信占比最大。
2��、本季度參與攻擊的活躍境內(nèi)肉雞中,按省份統(tǒng)計(jì)最多位于廣東省�����、遼寧省和福建?。话礆w屬運(yùn)營(yíng)商統(tǒng)計(jì)����,電信占比最大�����。
3���、本季度被利用參與Memcached反射攻擊的活躍境內(nèi)反射服務(wù)器中��,按省份統(tǒng)計(jì)排名前三名的省份是廣東省��、山東省�、和四川?��?����;數(shù)量最多的歸屬運(yùn)營(yíng)商是電信���。被利用參與NTP反射攻擊的活躍境內(nèi)反射服務(wù)器中����,按省份統(tǒng)計(jì)排名前三名的省份是河北省����、浙江省和河南省�����;數(shù)量最多的歸屬運(yùn)營(yíng)商是聯(lián)通��。被利用參與SSDP反射攻擊的活躍境內(nèi)反射服務(wù)器中����,按省份統(tǒng)計(jì)排名前三名的省份是浙江省、廣東省和遼寧?����。粩?shù)量最多的歸屬運(yùn)營(yíng)商是電信���。
4�����、本季度轉(zhuǎn)發(fā)偽造跨域攻擊流量的路由器中�����,位于廣東省、四川省和上海市的路由器數(shù)量最多����。本季度轉(zhuǎn)發(fā)偽造本地攻擊流量的路由器中,位于江蘇省�、河南省和浙江省的路由器數(shù)量最多。
DDoS攻擊資源分析
1�����、控制端資源分析
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)�,利用肉雞發(fā)起DDoS攻擊的活躍控制端有741個(gè),其中境外控制端占比96.6%��、云平臺(tái)控制端占比78.7%,如圖1所示���。
圖1 2021年第2季度發(fā)起DDoS攻擊的控制端數(shù)量境內(nèi)外分布和云平臺(tái)占比
位于境外的控制端按國(guó)家或地區(qū)統(tǒng)計(jì)����,排名前三位的分別為美國(guó)(46.4%)����、德國(guó)(11.3%)和荷蘭(9.2%),其中如圖2所示�。
圖2 2021年第2季度發(fā)起DDoS攻擊的境外控制端數(shù)量按國(guó)家或地區(qū)分布
位于境內(nèi)的控制端按省份統(tǒng)計(jì),排名前三位的分別為江蘇?。?0.0%)、浙江?�。?2.0%)和福建?���。?.0%);按運(yùn)營(yíng)商統(tǒng)計(jì)�����,電信占40.0%��,聯(lián)通占8.0%,其他占52.0%�����,如圖3所示�����。
圖3 2021年第2季度發(fā)起DDoS攻擊的境內(nèi)控制端數(shù)量按省份和運(yùn)營(yíng)商分布
發(fā)起攻擊最多的境內(nèi)控制端地址前二十名及歸屬如表1所示�,位于江蘇省的地址最多。
表1 2021年第2季度發(fā)起攻擊的境內(nèi)控制端TOP20
2�、肉雞資源分析
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn),參與真實(shí)地址攻擊(包含真實(shí)地址攻擊與反射攻擊等其他攻擊的混合攻擊)的肉雞491680個(gè)��,其中境內(nèi)肉雞占比94.7%�、云平臺(tái)肉雞占比2.8%����,如圖4所示。
圖4 2021年第2度參與DDoS攻擊的肉雞數(shù)量境內(nèi)外分布和云平臺(tái)占比
位于境外的肉雞按國(guó)家或地區(qū)統(tǒng)計(jì)����,排名前三位的分別為美國(guó)(20.0%)、西班牙(12.1%)和日本(7.3%)���,其中如圖5所示�����。
圖5 2021年第2季度參與DDoS攻擊的境外肉雞數(shù)量按國(guó)家或地區(qū)分布
位于境內(nèi)的肉雞按省份統(tǒng)計(jì)����,排名前三位的分別為廣東省(9.1%)����、遼寧省(9.1%)和福建?����。?.0%)�;按運(yùn)營(yíng)商統(tǒng)計(jì),電信占50.8%���,聯(lián)通占39.3%���,移動(dòng)占8.4%,如圖6所示��。
圖6 2021年第2季度參與DDoS攻擊的境內(nèi)肉雞數(shù)量按省份和運(yùn)營(yíng)商分布
參與攻擊最多的境內(nèi)肉雞地址前二十名及歸屬如表2所示,位于北京市的地址最多����。
表2 2021年第2季度參與攻擊最多的境內(nèi)肉雞地址TOP20
3、反射攻擊資源分析
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)�����,參與反射攻擊的三類(lèi)重點(diǎn)反射服務(wù)器1988041臺(tái)���,其中境內(nèi)反射服務(wù)器占比80.0%�����,Memcached反射服務(wù)器占比3.5%��,NTP反射服務(wù)器占比23.7%�,SSDP反射服務(wù)器占比72.8%�。
(1)Memcached反射服務(wù)器資源
Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量Memcached服務(wù)器(一種分布式緩存系統(tǒng))存在的認(rèn)證和設(shè)計(jì)缺陷��,攻擊者通過(guò)向Memcached服務(wù)器IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包���,使Memcached服務(wù)器向受害者IP地址返回比請(qǐng)求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)�����,從而進(jìn)行反射攻擊�����。
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)�����,參與反射攻擊的Memcached反射服務(wù)器69635個(gè)���,其中境內(nèi)反射服務(wù)器占比96.6%��、云平臺(tái)反射服務(wù)器占比3.1%��,如圖7所示�����。
圖7 2021年第2季度Memcached反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺(tái)占比
位于境外的反射服務(wù)器按國(guó)家或地區(qū)統(tǒng)計(jì)���,排名前三位的分別為美國(guó)(23.0%)、德國(guó)(10.5%)和俄羅斯(5.5%)����,其中如圖8所示��。
圖8 2021年第2季度境外Memcached反射服務(wù)器數(shù)量按國(guó)家或地區(qū)分布
位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)�,排名前三位的分別為廣東?�。?6.7%)�����、山東?����。?.1%)和四川?�。?.0%)���;按運(yùn)營(yíng)商統(tǒng)計(jì)���,電信占58.2%,移動(dòng)占22.6%����,聯(lián)通占18.3%,如圖9所示��。
圖9 2021年第2季度境內(nèi)Memcached反射服務(wù)器數(shù)量按省份和運(yùn)營(yíng)商分布
被利用參與Memcached反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表3所示�����,位于江西省的地址最多���。
表3 2021年第2季度被利用參與Memcached反射攻擊最多的反射服務(wù)器地址TOP20
(2)NTP反射服務(wù)器資源
NTP反射攻擊利用了NTP(一種通過(guò)互聯(lián)網(wǎng)服務(wù)于計(jì)算機(jī)時(shí)鐘同步的協(xié)議)服務(wù)器存在的協(xié)議脆弱性����,攻擊者通過(guò)向NTP服務(wù)器IP地址的默認(rèn)端口123發(fā)送偽造受害者IP地址的Monlist指令數(shù)據(jù)包�����,使NTP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)����,從而進(jìn)行反射攻擊。
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)���,參與反射攻擊的NTP反射服務(wù)器471247個(gè)����,其中境內(nèi)反射服務(wù)器占比37.5%、云平臺(tái)反射服務(wù)器占比3.4%����,如圖10所示。
圖10 2021年第2季度NTP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺(tái)占比
位于境外的反射服務(wù)器按國(guó)家或地區(qū)統(tǒng)計(jì)��,排名前三位的分別為越南(46.0%)�、巴西(13.4%)和中國(guó)香港(5.1%),其中如圖11所示��。
圖11 2021年第2季度境外NTP反射服務(wù)器數(shù)量按國(guó)家或地區(qū)分布
位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)�,排名前三位的分別為河北省(23.0%)����、浙江省(15.5%)和河南?。?3.6%);按運(yùn)營(yíng)商統(tǒng)計(jì)�,聯(lián)通占47.1%,電信占41.4%�,移動(dòng)占10.2%,如圖12所示����。
圖12 2021年第2季度境內(nèi)NTP反射服務(wù)器數(shù)量按省份和運(yùn)營(yíng)商分布
被利用參與NTP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表4所示�����,位于云南省的地址最多。
表4 2021年第2季度被利用參與NTP反射攻擊最多的反射服務(wù)器地址TOP20
(3)SSDP反射服務(wù)器資源
SSDP反射攻擊利用了SSDP(一種應(yīng)用層協(xié)議��,是構(gòu)成通用即插即用(UPnP)技術(shù)的核心協(xié)議之一)服務(wù)器存在的協(xié)議脆弱性��,攻擊者通過(guò)向SSDP服務(wù)器IP地址的默認(rèn)端口1900發(fā)送偽造受害者IP地址的查詢(xún)請(qǐng)求����,使SSDP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的應(yīng)答數(shù)據(jù)包,從而進(jìn)行反射攻擊�����。
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)���,參與反射攻擊的SSDP反射服務(wù)器1447159個(gè)���,其中境內(nèi)反射服務(wù)器占比93.1%、云平臺(tái)反射服務(wù)器占比0.2%���,如圖13所示�����。
圖13 2021年第2季度SSDP反射服務(wù)器數(shù)量境內(nèi)外分布和云平臺(tái)占比
位于境外的反射服務(wù)器按國(guó)家或地區(qū)統(tǒng)計(jì)��,排名前三位的分別為俄羅斯(14.7%)��、美國(guó)(10.3%)和韓國(guó)(8.5%)���,其中如圖14所示�����。
圖14 2021年第2季度境外SSDP反射服務(wù)器數(shù)量按國(guó)家或地區(qū)分布
位于境內(nèi)的反射服務(wù)器按省份統(tǒng)計(jì)����,排名前三位的分別為浙江?����。?6.8%)����、廣東?����。?4.8%)和遼寧?��。?3.2%);按運(yùn)營(yíng)商統(tǒng)計(jì)��,電信占53.8%���,聯(lián)通占44.8%,移動(dòng)占0.9%���,如圖15所示�。
圖15 2021年第2季度境內(nèi)SSDP反射服務(wù)器數(shù)量按省份和運(yùn)營(yíng)商分布
被利用參與SSDP反射攻擊最多的境內(nèi)反射服務(wù)器地址前二十名及歸屬如表5所示�����,位于上海市的地址最多���。
表5 2021年第2季度被利用參與SSDP反射攻擊最多的反射服務(wù)器地址TOP20
4�、轉(zhuǎn)發(fā)偽造流量的路由器分析
(1)跨域偽造流量來(lái)源路由器
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn)���,轉(zhuǎn)發(fā)跨域偽造流量的路由器66個(gè)�;按省份統(tǒng)計(jì),排名前三位的分別為廣東?。?8.2%)、四川?����。?6.7%)和上海市(13.6%)����;按運(yùn)營(yíng)商統(tǒng)計(jì),電信占39.4%����,移動(dòng)占34.8%,聯(lián)通占25.8%����,如圖16所示。
圖16 跨域偽造流量來(lái)源路由器數(shù)量按省份和運(yùn)營(yíng)商分布
根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)�,參與攻擊事件最多的跨域偽造流量來(lái)源路由器地址前二十名及歸屬如表6所示,位于四川省的地址最多�。
表6 2021年第2季度參與攻擊最多的跨域偽造流量來(lái)源路由器TOP20
(2)本地偽造流量來(lái)源路由器
2021年第2季度CNCERT/CC監(jiān)測(cè)發(fā)現(xiàn),轉(zhuǎn)發(fā)本地偽造流量的路由器505個(gè)���;按省份統(tǒng)計(jì)���,排名前三位的分別為江蘇?���。?0.7%)�����、河南?�。?.3%)和浙江?��。?.9%);按運(yùn)營(yíng)商統(tǒng)計(jì)�,電信占52.1%,移動(dòng)占26.1%���,聯(lián)通占21.8%�����,如圖17所示�����。
圖17 2021年第2季度本地偽造流量來(lái)源路由器數(shù)量按省份和運(yùn)營(yíng)商分布
根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)����,參與攻擊事件最多的本地偽造流量來(lái)源路由器地址前二十名及歸屬如表7所示,位于山西省的地址最多�。
表7 2021年第2季度參與攻擊最多的本地偽造流量來(lái)源路由器TOP20
