我国DDoS攻击资源分析报告-2021年第3季度

我国DDoS攻击资源分析报告 (2021年第3季度) 国家计算机网络应急技术处理协调中心 2021年11月 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 2/ 20 目 录 一、引言 ....................................................................................................................................... 3 （一）攻击资源定义 ....................................................................................................... 3 （二）本季度重点关注情况 .......................................................................................... 4 二、DDoS攻击资源分析 ......................................................................................................... 5 （一）控制端资源分析 ................................................................................................... 5 （二）肉鸡资源分析 ....................................................................................................... 7 （三）反射攻击资源分析 .............................................................................................. 9 （1）Memcached反射服务器资源 .................................................................. 9 （2）NTP反射服务器资源 ............................................................................. 12 （3）SSDP反射服务器资源 ........................................................................... 14 （四）转发伪造流量的路由器分析 .......................................................................... 17 （1）跨域伪造流量来源路由器 ..................................................................... 17 （2）本地伪造流量来源路由器 ..................................................................... 19 CNCERT CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 3/ 20 一、引言 （一）攻击资源定义 本报告为2021年第3季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、 控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。 3、 反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。 4、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 4/ 20 5、 本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。 在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。 （二）本季度重点关注情况 1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、荷兰和德国；境内控制端按省份统计，最多位于广东省、北京市和河南省，按归属运营商统计，电信占比最大，境内活跃控制端数量进一步降低。 2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于山东省、重庆市和广东省；按归属运营商统计，联通占比最大；境内肉鸡数量相比第二季度增加108.0%。 3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、河南省、和山东省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 5/ 20 份是湖北省、河北省和河南省；数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。 4、本季度转发伪造跨域攻击流量的路由器中，位于贵州省、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于河南省、山东省和湖北省的路由器数量最多。 二、DDoS攻击资源分析 （一）控制端资源分析 2021年第3季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有500个，其中境外控制端占比97.0%、云平台控制端占比77.2%，如图1所示，境内控制端数量进一步降低。 图1 2021年第3季度发起DDoS攻击的控制端数量境内外分布和云平台占比 云77.2%其他22.8%控制端云平台占比境内3.0%境外97.0%控制端境内外分布 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 6/ 20 位于境外的控制端按国家或地区统计，排名前三位的分别为美国（44.1%）、荷兰（9.7%）和德国（8.9%），其中如图2所示。 图2 2021年第3季度发起DDoS攻击的境外控制端数量按国家或地区分布 位于境内的控制端按省份统计，排名前三位的分别为广东省（20.0%）、北京市（20.0%）和河南省（13.3%）；按运营商统计，电信占26.7%，联通占6.7%，其他占比66.7%，如图3所示。 图3 2021年第3季度发起DDoS攻击的境内控制端数量按省份和运营商分布 美国44.1%荷兰9.7%德国8.9%中国香港7.4%俄罗斯6.4%英国3.3%新加坡2.9%日本2.5%加拿大2.3%其他12.6%控制端境外分布电信26.7%联通6.7%其他66.7%控制端境内运营商分布广东20.0%北京20.0%河南13.3%上海13.3%福建6.7%四川6.7%其他20.0%控制端境内分布 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 7/ 20 发起攻击最多的境内控制端地址前十名及归属如表1所示，位于上海市的地址最多。 表1 2021年第3季度发起攻击的境内控制端TOP10 控制端地址 归属省份 归属运营商或云服务商 202.X.X.191 北京 电信 139.X.X.17 四川 腾讯云 122.X.X.10 河南 BGP多线 150.X.X.235 上海 腾讯云 1.X.X.95 上海 腾讯云 124.X.X.137 广东 电信 119.X.X.31 广东 腾讯云 223.X.X.126 北京 联通 117.X.X.169 福建 电信 113.X.X.30 上海 UCloud云 （二）肉鸡资源分析 2021年第3季度CNCERT/CC监测发现，参与真实地址攻击（包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉鸡1004384个，其中境内肉鸡占比96.5%、云平台肉鸡占比1.9%，如图4所示，境内肉鸡数量相比第二季度增加108.0%。 图4 2021年第3度参与DDoS攻击的肉鸡数量境内外分布和云平台占比 云1.9%其他98.1%肉鸡云平台占比境内96.5%境外3.5%肉鸡境内外分布 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 8/ 20 位于境外的肉鸡按国家或地区统计，排名前三位的分别为德国（14.8%）、美国（14.1%）和日本（13.4%），其中如图5所示。 图5 2021年第3季度参与DDoS攻击的境外肉鸡数量按国家或地区分布 位于境内的肉鸡按省份统计，排名前三位的分别为山东省（12.4%）、重庆市（9.4%）和广东省（7.2%）；按运营商统计，联通占48.4%，电信占47.4%，移动占2.7%，如图6所示。 图6 2021年第3季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布 德国14.8%美国14.1%日本13.4%中国台湾7.4%巴西5.5%马来西亚5.3%韩国4.1%墨西哥3.8%南非2.6%其他29.1%肉鸡境外分布联通48.4%电信47.4%移动2.7%其他1.5%肉鸡境内运营商分布山东12.4%重庆9.4%广东7.2%浙江6.6%辽宁5.1%黑龙江4.9%北京4.8%海南4.7%江苏4.7%其他40.3%肉鸡境内分布 CNCERT 我国DDoS攻击资源分析报告（2021年第3季度） 9/ 20 参与攻击最多的境内肉鸡地址前二十名及归属如表2所示，位于北京市的地址最多。 表2 2021年第3季度参与攻击最多的境内肉鸡地址TOP20 肉鸡地址 归属省份 归属运营商 124.X.X.117 北京 BGP多线 123.X.X.121 北京 BGP多线 139.X.X.6 上海 阿里云 42.X.X.186 广东 腾讯云 81.X.X.131 广东 腾讯云 39.X.X.155 广东 阿里云 118.X.X.230 四川 电信 222.X.X.34 内蒙古 电信 218.X.X.100 四川 电信 218.X.X.215 湖南 电信 202.X.X.3 新疆 电信 218.X.X.241 广东 电信 58.X.X.49 江苏 电信 8.X.X.164 北京 阿里云 8.X.X.92 北京 阿里云 8.X.X.48 北京 阿里云 8.X.X.225 北京 阿里云 120.X.X.132 上海 移动 129.X.X.72 四川 腾讯云 8.X.X.229 北京 阿里云 （三）反射攻击资源分析 2021年第3季度CNCERT/CC监测发现，参与反射攻击的三类重点反射服务器1701128台，其中境内反射服务器占比85.6%，Memcached反射服务器占比5.1%，NTP反射服务器占比23.1%，SS