安全研究

2019年5月|我國DDoS攻擊資源月度分析報告

本月重點關注情況

1、本月利用肉雞發起DDoS攻擊的控制端中,境外控制端最多位于美國;境內控制端最多位于江蘇省,其次是浙江省、河南省和北京市,按歸屬運營商統計,電信占的比例最大。

2、本月參與攻擊較多的肉雞地址主要位于廣東省、江蘇省、河南省和山東省,其中大量肉雞地址歸屬于電信運營商。2019年以來監測到的持續活躍的肉雞資源中,位于江蘇省、福建省、浙江省和廣東省占的比例最大。

3、本月被利用發起Memcached反射攻擊境內反射服務器數量按省份統計排名前三名的省份是河南省、廣東省、四川省;數量最多的歸屬運營商是電信。被利用發起NTP反射攻擊的境內反射服務器數量按省份統計排名前三名的省份是河北省、山東省和湖北省;數量最多的歸屬運營商是聯通。被利用發起SSDP反射攻擊的境內反射服務器數量按省份統計排名前三名的省份是遼甯省、浙江省和吉林省;數量最多的歸屬運營商是聯通。

4、本月轉發僞造跨域攻擊流量的路由器中,歸屬于江蘇省電信的路由器參與的攻擊事件數量最多,2019年以來被持續利用的跨域僞造流量來源路由器中,歸屬于北京市、江蘇省和遼甯省路由器數量最多。

5、本月轉發僞造本地攻擊流量的路由器中,歸屬于湖南省聯通的路由器參與的攻擊事件數量最多,2019年以來被持續利用的本地僞造流量來源路由器中,歸屬于江蘇省、廣東省北京市和浙江省路由器數量最多。

 

攻擊資源定義

本報告爲2019年5月份的DDoS攻擊資源月度分析報告。圍繞互聯網環境威脅治理問題,基于CNCERT監測的DDoS攻擊事件數據進行抽樣分析,重點對“DDoS攻擊是從哪些網絡資源上發起的”這個問題進行分析。主要分析的攻擊資源包括:

1、控制端資源,指用來控制大量的僵屍主機節點向攻擊目標發起DDoS攻擊的木馬或僵屍網絡控制端。

2、肉雞資源,指被控制端利用,向攻擊目標發起DDoS攻擊的僵屍主機節點。

3、反射服務器資源,指能夠被黑客利用發起反射攻擊的服務器、主機等設施,它們提供的網絡服務中,如果存在某些網絡服務,不需要進行認證並且具有放大效果,又在互聯網上大量部署(如DNS服務器,NTP服務器等),它們就可能成爲被利用發起DDoS攻擊的網絡資源。

4、跨域僞造流量來源路由器,是指轉發了大量任意僞造IP攻擊流量的路由器。由于我國要求運營商在接入網上進行源地址驗證,因此跨域僞造流量的存在,說明該路由器或其下路由器的源地址驗證配置可能存在缺陷,且該路由器下的網絡中存在發動DDoS攻擊的設備。

5、本地僞造流量來源路由器,是指轉發了大量僞造本區域IP攻擊流量的路由器。說明該路由器下的網絡中存在發動DDoS攻擊的設備。

在本報告中,一次DDoS攻擊事件是指在經驗攻擊周期內,不同的攻擊資源針對固定目標的單個DDoS攻擊,攻擊周期時長不超過24小時。如果相同的攻擊目標被相同的攻擊資源所攻擊,但間隔爲24小時或更多,則該事件被認爲是兩次攻擊。此外,DDoS攻擊資源及攻擊目標地址均指其IP地址,它們的地理位置由它的IP地址定位得到。

 

DDoS攻擊資源月度分析

1 控制端資源分析

根據CNCERT抽樣監測數據,2019年5月,利用肉雞發起DDoS攻擊的控制端有257個,其中,37個控制端位于我國境內,220個控制端位于境外。

位于境外的控制端按國家或地區分布,美國占的比例最大,占45.9%,其次是加拿大和中國香港,如圖1所示。

(圖1:本月發起DDoS攻擊的境外控制端數量按國家或地區分布TOP15)

位于境內的控制端按省份統計,江蘇省占的比例最大,各占24.3%,其次是浙江省、河南省和北京市;按運營商統計,電信占的比例最大,占62.2%,聯通占16.2%,移動占5.4%,如圖2所示。

圖2:本月發起DDoS攻擊的境內控制端數量按省份和運營商分布)

本月發起攻擊最多的境內控制端前二十名及歸屬如表1所示,主要位于浙江省。

(表1 :本月發起攻擊最多的境內控制端TOP20)

控制端地址 歸屬省份 歸屬運營商或雲服務商
115.X.X.186 浙江省 電信
222.X.X.231 江蘇省 電信
115.X.X.236 浙江省 電信
222.X.X.41 江蘇省 電信
42.X.X.96 河南省 聯通
122.X.X.190 河南省 聯通
114.X.X.236 北京市 電信
111.X.X.110 河南省 移動
139.X.X.127 上海市 阿裏雲
122.X.X.109 浙江省 電信
222.X.X.16 江蘇省 電信
118.X.X.82 上海市 騰訊雲
101.X.X.202 北京市 電信
43.X.X.11 浙江省 待確認
117.X.X.165 北京市 聯通
122.X.X.124 浙江省 電信
61.X.X.150 江蘇省 電信
101.X.X.113 廣東省 阿裏雲
123.X.X.43 河南省 電信
111.X.X.74 江西省 電信

 

2019年至今監測到的控制端中,8.9%的控制端在本月仍處于活躍狀態,共計75個,其中位于我國境內的控制端數量爲11個,位于境外的控制端數量爲64個。持續活躍的境內控制端及歸屬如表2所示。

(表2 :2019年以來持續活躍發起DDOS攻擊的境內控制端)

控制端地址 歸屬省份 歸屬運營商或雲服務商
42.X.X.96 河南省 聯通
115.X.X.17 浙江省 電信
61.X.X.150 江蘇省 電信
203.X.X.155 廣東省 電信
115.X.X.236 浙江省 電信
101.X.X.113 廣東省 阿裏雲
123.X.X.43 河南省 電信
182.X.X.227 上海市 騰訊雲
115.X.X.186 浙江省 電信
139.X.X.127 上海市 阿裏雲
111.X.X.74 江西省 電信

 

2 肉雞資源分析

根據CNCERT抽樣監測數據,2019年5月,共有686081個肉雞地址參與真實地址攻擊(包含真實地址攻擊與其它攻擊的混合攻擊)。

這些肉雞資源按省份統計,廣東省占的比例最大,爲16.8%,其次是江蘇省、河南省和山東省;按運營商統計,電信占的比例最大,爲56.9%,聯通占21.8%,移動占20.4%,如圖3所示。

(圖3 :本月肉雞地址數量按省份和運營商分布)

本月參與攻擊最多的肉雞地址前二十名及歸屬如表3所示,位于甯夏回族自治區的地址最多。

(表3 :本月參與攻擊最多的肉雞地址TOP20)

肉雞地址 歸屬省份 歸屬運營商
14.X.X.116 廣東省 電信
111.X.X.34 甯夏回族自治區 移動
42.X.X.251 湖南省 聯通
124.X.X..238 河北省 電信
124.X.X.237 河北省 電信
124.X.X.236 河北省 電信
14.X.X.114 廣東省 電信
219.X.X.70 內蒙古自治區 電信
124.X.X.239 河北省 電信
14.X.X.117 廣東省 電信
111.X.X.2 甯夏回族自治區 移動
210.X.X.115 北京市 聯通
210.X.X.50 北京市 聯通
120.X.X.52 甯夏回族自治區 移動
120.X.X.226 甯夏回族自治區 移動
210.X.X.229 北京市 聯通
218.X.X.121 江蘇省 電信
120.X.X.131 甯夏回族自治區 移動
14.X.X.112 廣東省 電信
14.X.X.118 廣東省 電信

 

2019年至今監測到的肉雞資源中,共計36022個肉雞在本月仍處于活躍狀態,其中位于我國境內的肉雞數量爲19654個,位于境外的肉雞數量爲16368個。2019年1月至今被利用發起DDoS攻擊最多的肉雞TOP20及歸屬如表4所示。

(表4 :2019年以來被利用發起DDoS攻擊數量排名TOP20且在本月持續活躍的肉雞地址)

肉雞地址 歸屬省份 歸屬運營商
36.X.X.125 內蒙古自治區 電信
122.X.X.10 湖北省 聯通
14.X.X.41 廣東省 電信
112.X.X.170 廣東省 聯通
58.X.X.131 廣東省 聯通
218.X.X.249 廣西壯族自治區 電信
120.X.X.50 廣東省 聯通
112.X.X.51 廣東省 聯通
14.X.X.241 廣東省 電信
113.X.X.167 湖北省 聯通
113.X.X.16 陝西省 電信
183.X.X.50 湖北省 聯通
119.X.X.89 廣東省 電信
120.X.X.229 甯夏回族自治區 移動
118.X.X.139 吉林省 聯通
122.X.X.110 吉林省 聯通
117.X.X.17 江西省 電信
111.X.X.53 吉林省 移動
111.X.X.15 廣西壯族自治區 移動
219.X.X.34 遼甯省 電信

 

2019年至今持續活躍的境內肉雞資源按省份統計,江蘇省占的比例最大,占23.1%,其次是福建省、浙江省和廣東省;按運營商統計,電信占的比例最大,占57.5%,移動占26.8%,聯通占11.8%,如圖4所示。

(圖4 :2019年以來持續活躍的肉雞數量按省份和運營商分布)

 

3 反射攻擊資源分析

根據CNCERT抽樣監測數據,2019年5月,利用反射服務器發起的三類重點反射攻擊共涉及1814386台反射服務器,其中境內反射服務器1345333台,境外反射服務器469053台。反射攻擊所利用Memcached反射服務器發起反射攻擊的反射服務器有24785台,占比1.4%,其中境內反射服務器22334台,境外反射服務器2451台;利用NTP反射發起反射攻擊的反射服務器有547332台,占比30.2%,其中境內反射服務器317048台,境外反射服務器230284台;利用SSDP反射發起反射攻擊的反射服務器有1242269台,占比68.5%,其中境內反射服務器1005951台,境外反射服務器236318台。

(1)Memcached反射服務器資源

Memcached反射攻擊利用了在互聯網上暴露的大批量Memcached服務器(一種分布式緩存系統)存在的認證和設計缺陷,攻擊者通過向Memcached服務器IP地址的默認端口11211發送僞造受害者IP地址的特定指令UDP數據包,使Memcached服務器向受害者IP地址返回比請求數據包大數倍的數據,從而進行反射攻擊。

根據CNCERT抽樣監測數據,2019年5月,利用Memcached服務器實施反射攻擊的事件共涉及境內22334台反射服務器,境外2451台反射服務器。

本月境內反射服務器數量按省份統計,河南省占的比例最大,占11.6%,其次是廣東省、四川省和河北省;按歸屬運營商或雲服務商統計,電信占的比例最大,占79.4%,移動占比11.8%,聯通占比6.2%,阿裏雲占比1.8%,如圖5所示。

(圖5 :本月境內Memcached反射服務器數量按省份、運營商或雲服務商分布)

本月境外反射服務器數量按國家或地區統計,美國占的比例最大,占33.2%,其次是俄羅斯、中國香港和法國,如圖6所示。

(圖6 :本月境外反射服務器數量按國家或地區分布)

 

本月被利用發起Memcached反射攻擊的境內反射服務器按被利用發起攻擊數量排名TOP30的反射服務器及歸屬如表5所示,位于浙江省的地址最多。

(表5 :本月境內被利用發起Memcached反射攻擊事件數量中排名TOP30的反射服務器)

反射服務器地址 歸屬省份 歸屬運營商或雲服務商
121.X.X.205 廣東省 電信
183.X.X.174 安徽省 電信
139.X.X.9 上海市 阿裏雲
61.X.X.232 四川省 電信
223.X.X.13 四川省 移動
122.X.X.39 浙江省 電信
121.X.X.82 浙江省 電信
211.X.X.250 湖北省 聯通
182.X.X.230 雲南省 電信
59.X.X.232 湖北省 電信
60.X.X.82 安徽省 電信
116.X.X.10 雲南省 電信
112.X.X.44 雲南省 電信
114.X.X.200 廣東省 電信
211.X.X.30 上海市 電信
139.X.X.137 上海市 阿裏雲
118.X.X.206 四川省 電信
120.X.X.251 浙江省 阿裏雲
139.X.X.143 上海市 阿裏雲
120.X.X.159 廣東省 阿裏雲
112.X.X.223 浙江省 移動
122.X.X.34 浙江省 電信
121.X.X.40 浙江省 電信
223.X.X.24 浙江省 移動
122.X.X.7 上海市 待確認
121.X.X.148 浙江省 電信
222.X.X.246 湖南省 電信
60.X.X.224 甘肅省 電信
121.X.X.241 浙江省 電信
61.X.X.107 甘肅省 電信

 

近兩月被利用發起攻擊的Memcached反射服務器中,共計2497個在本月仍處于活躍狀態。近兩月被持續利用發起攻擊的Memcached反射服務器按省份統計,江蘇省占的比例最大,占21.8%,其次是福建省、浙江省、廣東省和上海市;按運營商或雲服務統計,電信占的比例最大,占56.1%,移動占26.7%,聯通占11.8%,阿裏雲占2.3%,如圖7所示。

(圖7 :近兩月被持續利用發起攻擊的Memcached反射服務器數量按省份運營商或雲服務商分布)

(2)NTP反射服務器資源

NTP反射攻擊利用了NTP(一種通過互聯網服務于計算機時鍾同步的協議)服務器存在的協議脆弱性,攻擊者通過向NTP服務器IP地址的默認端口123發送僞造受害者IP地址的Monlist指令數據包,使NTP服務器向受害者IP地址反射返回比原始數據包大數倍的數據,從而進行反射攻擊。

根據CNCERT抽樣監測數據,2019年5月,NTP反射攻擊事件共涉及我國境內317048台反射服務器,境外230284台反射服務器。

本月被利用發起NTP反射攻擊的境內反射服務器數量按省份統計,河北省占的比例最大,占35.6%,其次是山東省、湖北省和河南省;按歸屬運營商統計,聯通占的比例最大,占50.9%,移動占比31.8%,電信占比17.1%,如圖8所示。

(圖8 :本月被利用發起NTP反射攻擊的境內反射服務器數量按省份和運營商分布)

本月被利用發起NTP反射攻擊的境外反射服務器數量按國家或地區統計,越南占的比例最大,占52.1%,其次是澳大利亞、巴西和美國,如圖9所示。

(圖9 :本月被利用發起NTP反射攻擊的境外反射服務器數量按國家或地區分布)

本月被利用發起NTP反射攻擊的境內反射服務器按被利用發起攻擊數量排名TOP30及歸屬如表6所示,位于安徽省的地址最多。

(表6 :本月境內被利用發起NTP反射攻擊的反射服務器按涉事件數量TOP30)

反射服務器地址 歸屬省份 歸屬運營商
111.X.X.2 湖南省 移動
120.X.X.125 安徽省 移動
112.X.X.80 安徽省 移動
111.X.X.8 湖南省 移動
111.X.X.6 湖南省 移動
111.X.X.7 湖南省 移動
111.X.X.4 湖南省 移動
111.X.X.5 湖南省 移動
111.X.X.3 湖南省 移動
111.X.X.136 安徽省 移動
119.X.X.50 甯夏回族自治區 電信
183.X.X.11 山西省 移動
111.X.X.9 湖南省 移動
111.X.X.70 山西省 移動
183.X.X.29 山西省 移動
112.X.X.113 安徽省 移動
211.X.X.180 山西省 移動
111.X.X.99 安徽省 移動
211.X.X.78 山西省 移動
112.X.X.86 安徽省 移動
183.X.X.94 山西省 移動
223.X.X.173 山東省 移動
112.X.X.82 安徽省 移動
112.X.X.114 安徽省 移動
112.X.X.139 安徽省 移動
120.X.X.99 安徽省 移動
211.X.X.146 山西省 移動
120.X.X.230 安徽省 移動
120.X.X.44 安徽省 移動
120.X.X.115 安徽省 移動

 

近兩月被持續利用發起攻擊的NTP反射服務器中,共計190472個在本月仍處于活躍狀態,其中154255個位于境內,36217個位于境外。持續活躍的NTP反射服務器按省份統計,山東省占的比例最大,占25.9%,其次是河北省、河南省和湖北省;按運營商統計,移動占的比例最大,占39.4%,聯通占36.6%,電信占22.9%,如圖10所示。

(圖10 :近兩月被持續利用發起攻擊的NTP反射服務器數量按省份運營商分布)

(3)SSDP反射服務器資源

SSDP反射攻擊利用了SSDP(一種應用層協議,是構成通用即插即用(UPnP)技術的核心協議之一)服務器存在的協議脆弱性,攻擊者通過向SSDP服務器IP地址的默認端口1900發送僞造受害者IP地址的查詢請求,使SSDP服務器向受害者IP地址反射返回比原始數據包大數倍的應答數據包,從而進行反射攻擊。

根據CNCERT抽樣監測數據,2019年5月,SSDP反射攻擊事件共涉及境內1005951台反射服務器,境外236318台反射服務器。

本月被利用發起SSDP反射攻擊的境內反射服務器數量按省份統計,遼甯省占的比例最大,占24.5%,其次是浙江省、吉林省和廣東省;按歸屬運營商統計,聯通占的比例最大,占61.4%,電信占比37.2%,移動占比1.2%,如圖11所示。

(圖11 :本月被利用發起SSDP反射攻擊的境內反射服務器數量按省份和運營商分布)

本月被利用發起SSDP反射攻擊的境外反射服務器數量按國家或地區統計,俄羅斯占的比例最大,占23.9%,其次是美國、中國台灣和加拿大,如圖12所示。

(圖12 :本月被利用發起SSDP反射攻擊的境外反射服務器數量按國家或地區或地區分布)

本月被利用發起SSDP反射攻擊的境內反射服務器按被利用發起攻擊數量排名TOP30的反射服務器及歸屬如表7所示,位于江西省的地址最多。

(表7: 本月境內被利用發起SSDP反射攻擊事件數量中排名TOP30的反射服務器)

反射服務器地址 歸屬省份 歸屬運營商
61.X.X.126 甯夏回族自治區 電信
59.X.X.210 山西省 電信
59.X.X.26 山西省 電信
183.X.X.188 重慶市 電信
222.X.X.69 重慶市 電信
222.X.X.66 重慶市 電信
59.X.X.22 山西省 電信
61.X.X.163 江西省 電信
222.X.X.146 吉林省 電信
182.X.X.186 江西省 電信
59.X.X.2 山西省 電信
183.X.X.236 重慶市 電信
220.X.X.215 雲南省 電信
218.X.X.108 江西省 電信
114.X.X.10 江蘇省 電信
59.X.X.39 遼甯省 電信
61.X.X.142 江西省 電信
59.X.X.222 遼甯省 電信
183.X.X.50 重慶市 電信
61.X.X.170 重慶市 電信
61.X.X.156 湖南省 電信
218.X.X.249 江西省 電信
182.X.X.11 四川省 電信
218.X.X.163 江西省 電信
182.X.X.219 江西省 電信
218.X.X.46 江西省 電信
218.X.X.133 江西省 電信
182.X.X.141 四川省 電信
60.X.X.206 雲南省 電信
59.X.X.10 山西省 電信

 

近兩月被持續利用發起攻擊的SSDP反射服務器中,共計217621個在本月仍處于活躍狀態,其中104252位于境內,113369個位于境外。近兩月持續活躍的參與大量攻擊事件的SSDP反射服務器按省份統計,遼甯省占的比例最大,占26.3%,其次是吉林省、浙江省和廣東省;按運營商統計,聯通占的比例最大,占60.9%,電信占34.9%,移動占3.7%,如圖13所示。

(圖13 :近兩月被持續利用發起攻擊的SSDP反射服務器數量按省份運營商分布)

(4)發起僞造流量的路由器分析

1. 跨域僞造流量來源路由器

根據CNCERT抽樣監測數據,2019年5月,通過跨域僞造流量發起攻擊的流量來源于44個路由器。根據參與攻擊事件的數量統計,歸屬于江蘇省電信的路由器(221.X.X.6、221.X.X.5)參與的攻擊事件數量最多,其次是歸屬于電信集團的路由器(202.X.X.222、202.X.X.223),如表8所示。

(表8: 本月參與攻擊最多的跨域僞造流量來源路由器TOP25)

跨域僞造流量來源路由器 歸屬省份 歸屬運營商
221.X.X.6 江蘇省 電信
221.X.X.5 江蘇省 電信
202.X.X.222 集團 電信
202.X.X.223 集團 電信
220.X.X.253 北京市 電信
219.X.X.70 北京市 電信
202.X.X.180 遼甯省 待確認
202.X.X.52 遼甯省 待確認
202.X.X.17 集團 電信
202.X.X.16 集團 電信
221.X.X.2 天津市 電信
221.X.X.1 天津市 電信
202.X.X.204 重慶市 電信
218.X.X.6 北京市 電信
202.X.X.205 重慶市 電信
220.X.X.243 北京市 電信
202.X.X.193 集團 電信
202.X.X.192 集團 電信
202.X.X.118 天津市 待確認
202.X.X.116 天津市 待確認
202.X.X.136 浙江省 電信
211.X.X.44 遼甯省 移動
222.X.X.180 上海市 電信
220.X.X.253 河北省 聯通
202.X.X.137 浙江省 電信

跨域僞造流量涉及路由器按省份分布統計,北京市占的比例最大,占22.7%,其次是江蘇省和遼甯省;按路由器所屬運營商統計,聯通占的比例最大,占31.8%,電信占比29.5%,移動占比4.5%,如圖14所示。

(圖14 :跨域僞造流量來源路由器數量按省份和運營商分布)

2019年以來被持續利用轉發DDoS攻擊的跨域僞造流量來源路由器中,監測發現有40個在本月仍活躍,存活率爲19.0%。按省份分布統計,北京市占的比例最大,占27.8%,其次是江蘇省和遼甯省;按路由器所屬運營商統計,電信占的比例最大,占30.0%,聯通占比27.5%,移動占比5.0%,如圖15所示。

(圖15 :2019年被持續利用轉發跨域僞造攻擊流量本月仍活躍路由器數量按省份和運營商分布)

2. 本地僞造流量來源路由器

根據CNCERT抽樣監測數據,2019年5月,通過本地僞造流量發起攻擊的流量來源于413個路由器。根據參與攻擊事件的數量統計,歸屬于湖南省聯通的路由器(110.X.X.1、110.X.X.6)參與的攻擊事件數量最多,其次是歸屬于遼甯省電信的路由器(219.X.X.1),如表9所示。

(表9 :本月參與攻擊最多的本地僞造流量來源路由器TOP25)

本地僞造流量來源路由器 歸屬省份 歸屬運營商
110.X.X.1 湖南省 聯通
110.X.X.6 湖南省 聯通
219.X.X.1 遼甯省 電信
202.X.X.21 上海市 電信
61.X.X.255 江蘇省 電信
61.X.X.2 江蘇省 電信
61.X.X.1 江蘇省 電信
221.X.X.6 江蘇省 電信
221.X.X.5 江蘇省 電信
124.X.X.1 上海市 電信
222.X.X.128 江蘇省 電信
202.X.X.52 遼甯省 待確認
61.X.X.254 江蘇省 電信
61.X.X.252 江蘇省 電信
222.X.X.127 江蘇省 電信
61.X.X.70 江蘇省 電信
61.X.X.71 江蘇省 電信
222.X.X.180 上海市 電信
202.X.X.17 上海市 電信
124.X.X.201 上海市 電信
202.X.X.180 遼甯省 待確認
220.X.X.25 江西省 電信
202.X.X.193 江蘇省 待確認
202.X.X.192 江蘇省 待確認
202.X.X.17 上海市 待確認

本月本地僞造流量涉及路由器按省份分布,江蘇省占的比例最大,占18.9%,其次是北京市和廣東省;按路由器所屬運營商統計,電信占的比例最大,占40.1%,聯通占比27.6%,移動占比21.4%,如圖16所示。

(圖16 :本地僞造流量來源路由器數量按省份和運營商分布)

2019年以來被持續利用轉發本地僞造流量DDoS攻擊的路由器中,監測發現有235個在本月仍活躍,存活率爲52.9%。按省份統計,江蘇省占的比例最大,占16.6%,其次是廣東省、北