《CNCERT CC:2020年第4季度我国DDoS攻击资源分析报告.ppt》由会员分享,可在线阅读,更多相关《CNCERT CC:2020年第4季度我国DDoS攻击资源分析报告.ppt(20页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、我国 DDoS 攻击资源分析报告(2020 年第 4 季度)国家计算机网络应急技术处理协调中心2021 年 1 月目 录我国 DDoS攻击资源分析报告(2020年第 4季度)一、引言(一)攻击资源定义本报告为 2020 年第 4 季度的 DDoS 攻击资源分析报告。围绕互联网环境威胁治理问题,基于 CNCERT 监测的 DDoS攻击事件数据进行抽样分析,重点对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的僵尸网络控制端。2、肉鸡资源,指被控制端利用,向攻击目标发起 DDoSCNCE
2、RT攻击的僵尸主机节点。3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如 DNS 服务器,NTP 服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起 DDoS 反射攻击的网络资源。4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动 DDoS 攻击的设备。3/20我国 DDoS攻击资源分析报告(2020年第 4季度)5、本地伪造流量来源路由器,
3、是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。在本报告中,一次 DDoS 攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个 DDoS 攻击,攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为 24 小时或更多,则该事件被认为是两次攻击。此外,DDoS 攻击资源及攻击目标地址均指其 IP 地址,它们的地理位置由它的 IP 地址定位得到。(二)本季度重点关注情况1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制CNCERT端按国家和地区统计,最多位于美国、德国和荷兰;境内控制端按省份统计,最多位于
4、上海市、江苏省和广东省,按归属运营商统计,使用 BGP 多线的控制端数量最多。2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于安徽省、江苏省和辽宁省;按归属运营商统计,电信占比最大。3、本季度被利用参与 Memcached 反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与 NTP 反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省4/20我国 DDoS攻击资源分析报告(2020年第 4季度)份是河北省、河南省和湖北省;数量最多的归属运营商是联通。被利用参与 SSDP 反射攻击的活跃境内反射服务器中,按省份统
5、计排名前三名的省份是浙江省、辽宁省和广东省;数量最多的归属运营商是电信。4、本季度转发伪造跨域攻击流量的路由器中,位于上海市、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于江苏省、福建省和湖南省的路由器数量最多。二、DDoS 攻击资源分析(一)控制端资源分析CNCERT2020 年第 4 季度 CNCERT/CC 监测发现,利用肉鸡发起DDoS 攻击的活跃控制端有 1057 个,其中境外控制端占比 97.3%、云平台控制端占比 79.9%,如图 1 所示,与 2020 年第 3季度相比境外控制端占比进一步提高。控制端境内外分布控制端云平台占比境内2.7%其他20.1
6、%云79.9%境外97.3%图 1 2020 年第 4 季度发起 DDoS 攻击的控制端数量境内外分布和云平台占比5/20我国 DDoS攻击资源分析报告(2020年第 4季度)位于境外的控制端按国家或地区统计,排名前三位的分别为美国(43.3%)、德国(13.1%)和荷兰(10.7%),其中如图 2 所示。加拿大 控制端境外分布巴西2.8%1.8%其他10.9%罗马尼亚2.9%美国43.3%俄罗斯4.7%摩尔多瓦4.8%荷兰10.7%中国香港5.0%德国13.1%图 2 2020 年第 4 季度发起 DDoS 攻击的境外控制端数量按国家或地区分布位于境内的控制端按省份统计,排名前三位的分别为上
7、海CNCERT市(20.7%)、江苏省(17.2%)和广东省(13.8%);按运营商统计,BGP 多线占 51.7%,电信占 34.5%,联通占 13.8%,如图 3 所示。控制端境内分布控制端境内运营商分布其他17.2%上海20.7%湖北3.4%电信34.5%BGP多线51.7%江苏17.2%河南6.9%联通13.8%广东13.8%山东10.3%浙江10.3%移动0.0%图 3 2020 年第 4 季度发起 DDoS 攻击的境内控制端数量按省份和运营商分布发起攻击最多的境内控制端地址前二十名及归属如表 16/20我国 DDoS攻击资源分析报告(2020年第 4季度)所示,位于上海市的地址最多
8、。表 1 2020 年第 4 季度发起攻击的境内控制端 TOP20归属运营商或云服务商控制端地址119.X.X.12147.X.X.231116.X.X.29222.X.X.87122.X.X.123222.X.X.130222.X.X.78122.X.X.232119.X.X.15427.X.X.246119.X.X.92113.X.X.3061.X.X.68归属省份山东广东湖北江苏河南江苏江苏上海上海山东上海上海浙江浙江上海上海江苏吉林浙江安徽联通阿里云电信电信BGP多线电信电信BGP多线BGP多线联通BGP多线BGP多线电信61.X.X.9电信122.X.X.9849.X.X.24322
9、2.X.X.226221.X.X.23961.X.X.62BGP多线BGP多线电信联通CNCERT电信36.X.X.13电信(二)肉鸡资源分析2020 年第 4 季度 CNCERT/CC 监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡 332628 个,其中境内肉鸡占比 92.9%、云平台肉鸡占比 5.5%,如图 4 所示。7/20我国 DDoS攻击资源分析报告(2020年第 4季度)肉鸡境内外分布肉鸡云平台占比境外7.1%云5.5%其他94.5%境内92.9%图 4 2020 年第 4 季度参与 DDoS 攻击的肉鸡数量境内外分布和云平台占比位于境外的肉鸡
10、按国家或地区统计,排名前三位的分别为美国(17.9%)、俄罗斯(6.7%)和巴西(6.4%),其中如图5 所示。肉鸡境外分布美国17.9%C其他47.7%俄罗斯6.7%巴西6.4%印度尼西亚4.3%德国4.2%韩国2.7%日本3.3%中国台湾3.7%越南3.1%图 5 2020 年第 4 季度参与 DDoS 攻击的境外肉鸡数量按国家或地区分布位于境内的肉鸡按省份统计,排名前三位的分别为安徽省(12.6%)、江苏 省(10.7%)和辽宁省(7.4%);按运营商统计,电信占 63.4%,联通占 31.9%,移动占 2.7%,如图 6 所示。8/20我国 DDoS攻击资源分析报告(2020年第 4季
11、度)肉鸡境内分布肉鸡境内运营商分布其他2.1%移动2.7%安徽12.6%其他34.0%江苏10.7%联通31.9%辽宁7.4%山东4.7%电信63.4%福建5.4%广东7.4%四川5.4%吉林6.5%浙江6.0%图 6 2020 年第 4 季度参与 DDoS 攻击的境内肉鸡数量按省份和运营商分布参与攻击最多的境内肉鸡地址前二十名及归属如表 2 所示,位于北京市的地址最多。表 2 2020 年第 4 季度参与攻击最多的境内肉鸡地址 TOP20肉鸡地址归属省份北京北京北京北京北京北京北京广东河北山东中国北京中国中国浙江中国广东山东浙江广东归属运营商BGP多线联通124.X.X.117111.X.X
12、.145123.X.X.121111.X.X.227111.X.X.195111.X.X.233111.X.X.20139.X.X.75CNCERTBGP多线联通联通联通联通阿里云联通121.X.X.114114.X.X.838.X.X.151阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云阿里云39.X.X.1008.X.X.758.X.X.149121.X.X.1098.X.X.31120.X.X.234115.X.X.16242.X.X.102120.X.X.2499/20我国 DDoS攻击资源分析报告(2020年第 4季度)(三)反射攻击资源分析2020 年第 4 季度 C
13、NCERT/CC 监测发现,参与反射攻击的三类重点反射服务器 2915043 台,其中境内反射服务器占比65.2%,Memcached 反射服务器占比 1.6%,NTP 反射服务器占比 34.0%,SSDP 反射服务器占比 64.4%。(1)Memcached 反射服务器资源Memcached 反射攻击利用了在互联网上暴露的大批量 Memcached 服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向 Memcached 服务器 IP 地址的默认端口 11211 发送伪造受害者 IP 地址的特定指令 UDP 数据包,使 Memcached 服务器向受害者 IP 地址返回比请求数据包
14、大数倍的CNCERT数据,从而进行反射攻击。2020 年第 4 季度 CNCERT/CC 监测发现,参与反射攻击的 Memcached 反射服务器 45553 个,其中境内反射服务器占比 94.8%、云平台反射服务器占比 4.2%,如图 7 所示。反射服务器境内外分布反射服务器云平台占比境外5.2%云4.2%其他95.8%境内94.8%10/20我国 DDoS攻击资源分析报告(2020年第 4季度)图 7 2020 年第 4 季度 Memcached 反射服务器数量境内外分布和云平台占比位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(36.7%)、德国(7.1%)和法国(5.8%
15、),其中如图 8 所示。反射服务器境外分布其他26.9%美国36.7%中国香港2.5%印度尼西亚2.9%德国7.1%印度3.3%法国5.8%越南4.9%荷兰4.7%俄罗斯5.1%图 8 2020 年第 4 季度境外 Memcached 反射服务器数量按国家或地区分布CNCERT位于境内的反射服务器按省份统计,排名前三位的分别为广东省(17.5%)、山东省(7.8%)和湖南省(7.1%);按运营商统计,电信占 76.7%,移动占 13.2%,联通占 8.7%,如 图9 所示。反射服务器境内分布反射服务器境内运营商分布联通8.7%其他1.3%广东17.5%其他40.9%移动13.2%山东7.8%湖
16、南7.1%电信76.7%广西5.8%云南3.7%陕西3.8%四川4.8%山西4.3%河北图 9 2020 年第 4 季度境内 Memcached 反射服务器数量按省份和运营商分布11/20我国 DDoS攻击资源分析报告(2020年第 4季度)被利用参与 Memcached 反射攻击最多的境内反射服务器地址前二十名及归属如表 3 所示,位于北京市的地址最多。表 3 2020 年第 4 季度被利用参与 Memcached 反射攻击最多的反射服务器地址 Top20反射服务器地址114.X.X.107182.X.X.188222.X.X.157223.X.X.22115.X.X.142119.X.X.
17、93221.X.X.12113.X.X.86122.X.X.132125.X.X.203183.X.X.143111.X.X.98112.X.X.4449.X.X.241124.X.X.237106.X.X.142117.X.X.56180.X.X.3归属省份上海云南湖南北京浙江北京内蒙古陕西浙江广东山西北京云南北京北京北京甘肃北京山西北京归属运营商或云服务商京东云电信电信移动电信电信联通电信电信电信移动联通电信BGP多线BGP多线电信CNCERT移动电信111.X.X.2261.X.X.62移动联通(2)NTP 反射服务器资源NTP 反射攻击利用了 NTP(一种通过互联网服务于计算机时钟同步
18、的协议)服务器存在的协议脆弱性,攻击者通过向NTP 服务器 IP 地址的默认端口 123 发送伪造受害者 IP 地址的 Monlist 指令数据包,使 NTP 服务器向受害者 IP 地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。2020 年第 4 季度 CNCERT/CC 监测发现,参与反射攻击的 NTP 反射服务器 991080 个,其中境内反射服务器占比 28.12/20我国 DDoS攻击资源分析报告(2020年第 4季度)0%、云平台反射服务器占比 2.0%,如图 10 所示,与 2020 年第 3 季度相比参与反射攻击的 NTP 反射服务器数量下降了 74.4%。反射服务器境
19、内外分布反射服务器云平台占比云2.0%境内28.0%境外72.0%其他98.0%图 10 2020 年第 4 季度 NTP 反射服务器数量境内外分布和云平台占比位于境外的反射服务器按国家或地区统计,排名前三位的CNCERT分别为越南(54.1%)、巴 西(11.4%)和印度(7.9%),其 中如图 11 所示。中国香港1.5%反射服务器境外分布阿塞拜疆1.7%中国台湾1.3%其他14.7%美国2.3%委内瑞拉2.4%越南54.1%巴基斯坦2.9%印度7.9%巴西11.4%图 11 2020 年第 4 季度境外 NTP 反射服务器数量按国家或地区分布位于境内的反射服务器按省份统计,排名前三位的分
20、别为河北省(34.8%)、河南省(10.5%)和湖北省(10.4%);按13/20我国 DDoS攻击资源分析报告(2020年第 4季度)运营商统计,联通占 61.5%,电信占 28.0%,移动占 9.1%,如图 12 所示。反射服务器境内分布反射服务器境内运营商分布其他四川1.8%移动9.1%其他13.4%1.4%辽宁2.9%河北34.8%电信28.0%广东4.5%联通61.5%山东5.4%河南10.5%湖北10.4%浙江 山西8.0%8.3%图 12 2020 年第 4 季度境内 NTP 反射服务器数量按省份和运营商分布被利用参与 NTP 反射攻击最多的境内反射服务器地址前二十名及归属如表
21、4 所示,位于宁夏省的地址最多。CNCERT表 4 2020 年第 4 季度被利用参与 NTP 反射攻击最多的反射服务器地址 Top20反射服务器地址222.X.X.80119.X.X.50119.X.X.246211.X.X.66122.X.X.5归属省份宁夏归属运营商电信电信电信联通联通移动电信电信电信移动联通电信电信电信移动联通电信电信宁夏宁夏上海吉林218.X.X.184202.X.X.52220.X.X.44218.X.X.126120.X.X.147122.X.X.20222.X.X.19220.X.X.4861.X.X.218111.X.X.92123.X.X.40222.X.X
22、.3内蒙古海南云南宁夏内蒙古吉林宁夏云南宁夏河北辽宁贵州218.X.X.54宁夏14/20我国 DDoS攻击资源分析报告(2020年第 4季度)222.X.X.85宁夏河北电信联通121.X.X.142(3)SSDP 反射服务器资源SSDP 反射攻击利用了 SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向 SSDP 服务器 IP 地址的默认端口 1900发送伪造受害者 IP 地址的查询请求,使 SSDP 服务器向受害者 IP 地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。2020 年第 4 季度 CNCERT/CC
23、 监测发现,参与反射攻击的 SSDP 反射服务器 1878410 个,其中境内反射服务器占比 84.1%、云平台反射服务器占比 0.2%,如图 13 所示。C反射服务器境内外分布反射服务器云平台占比云0.2%境外15.9%境内84.1%其他99.8%图 13 2020 年第 4 季度 SSDP 反射服务器数量境内外分布和云平台占比位于境外的反射服务器按国家或地区统计,排名前三位的分别为俄罗斯(12.6%)、韩国(9.6%)和美国(9.1%),其中如图 14 所示。15/20我国 DDoS攻击资源分析报告(2020年第 4季度)反射服务器境外分布俄罗斯12.6%韩国9.6%其他33.7%美国9.
24、1%阿根廷3.2%中国台湾9.0%马来西亚4.1%加拿大7.5%巴西6.3%日本5.0%图 14 2020 年第 4 季度境外 SSDP 反射服务器数量按国家或地区分布位于境内的反射服务器按省份统计,排名前三位的分别为浙江省(16.8%)、辽宁省(16.0%)和广东省(13.1%);按运营商统计,电信占 49.8%,联通占 49.0%,移动占 0.5%,如图 15 所示。CNCERT反射服务器境内分布反射服务器境内运营商分布移动0.5%其他0.7%其他21.0%浙江16.8%江苏4.0%辽宁16.0%山西4.1%电信49.8%联通49.0%广西5.6%广东13.1%四川5.8%黑龙江5.9%吉
25、林7.8%图 15 2020 年第 4 季度境内 SSDP 反射服务器数量按省份和运营商分布被利用参与 SSDP 反射攻击最多的境内反射服务器地址前二十名及归属如表 5 所示,位于上海市的地址最多。表 5 2020 年第 4 季度被利用参与 SSDP 反射攻击最多的反射服务器地址 Top20反射服务器地址归属省份归属运营商16/20我国 DDoS攻击资源分析报告(2020年第 4季度)27.X.X.62上海上海上海黑龙江上海上海上海黑龙江上海上海山西上海山西黑龙江黑龙江上海上海安徽吉林山西联通联通联通联通电信联通联通联通联通联通联通联通联通联通联通联通移动电信联通移动58.X.X.66112.
26、X.X.118218.X.X.213222.X.X.24558.X.X.110140.X.X.16660.X.X.22058.X.X.16658.X.X.22660.X.X.20358.X.X.15460.X.X.11560.X.X.5560.X.X.21058.X.X.154117.X.X.134218.X.X.44218.X.X.126183.X.X.90(四)转发伪造流量的路由器分析CNCERT(1)跨域伪造流量来源路由器2020 年第 4 季度 CNCERT/CC 监测发现,转发跨域伪造流量的路由器 50 个;按省份统计,排名前三位的分别为上海市(27.3%)、四川省(20.5%)和江
27、苏省(15.9%);按运营商统计,电信占 80.0%,联通占 12.0%,移动占 8.0%,如图 16 所示。17/20我国 DDoS攻击资源分析报告(2020年第 4季度)跨域伪造流量来源路由器运营商分布跨域伪造流量来源路由器分布浙江4.5%河北4.5%移动甘肃4.5%8.0%联通12.0%上海27.3%黑龙江北京9.1%四川20.5%电信80.0%广东9.1%江苏15.9%图 16 跨域伪造流量来源路由器数量按省份和运营商分布根据参与攻击事件的数量统计,参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表 6 所示,位于上海市的地址最多。表 6 2020 年第 4 季度参与攻击最
28、多的跨域伪造流量来源路由器 TOP20CNCERT跨域伪造流量来源路由器202.X.X.60归属省份北京北京四川四川上海上海上海上海上海上海上海上海上海上海上海四川江苏江苏江苏江苏归属运营商电信电信电信电信电信电信电信电信电信电信电信电信电信电信移动电信电信电信电信电信202.X.X.61202.X.X.223202.X.X.222202.X.X.17202.X.X.16124.X.X.201202.X.X.21202.X.X.23202.X.X.24222.X.X.180124.X.X.1124.X.X.250202.X.X.17211.X.X.156118.X.X.168202.X.X.1
29、93202.X.X.194202.X.X.192202.X.X.19118/20我国 DDoS攻击资源分析报告(2020年第 4季度)(2)本地伪造流量来源路由器2020 年第 4 季度 CNCERT/CC 监测发现,转发本地伪造流量的路由器 455 个;按省份统计,排名前三位的分别为江苏省(13.2%)、福建省(7.9%)和湖南省(7.5%);按运营商统计,电信占 55.8%,移动占 27.5%,联通占 16.7%,如图 17所示。本地伪造流量来源路由器运营商分布本地伪造流量来源路由器分布江苏联通16.7%13.2%福建7.9%其他38.0%湖南7.5%电信55.8%移动27.5%云南4.4
30、%吉林6.6%浙江4.8%安徽5.7%北京5.9%C广东5.9%图 17 2020 年第 4 季度本地伪造流量来源路由器数量按省份和运营商分布根据参与攻击事件的数量统计,参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表 7 所示,位于江苏省的地址最多。表 7 2020 年第 4 季度参与攻击最多的本地伪造流量来源路由器 TOP20本地伪造流量来源路由器202.X.X.21归属省份上海归属运营商电信202.X.X.17上海电信219.X.X.70北京电信202.X.X.23上海电信202.X.X.24上海电信222.X.X.128222.X.X.127221.X.X.5江苏电信江苏电信江苏电信19/20我国 DDoS攻击资源分析报告(2020年第 4季度)61.X.X.2江苏江苏江苏江苏江苏中国北京北京中国内蒙古中国北京电信电信电信电信电信电信电信联通电信电信电信联通61.X.X.25261.X.X.161.X.X.255221.X.X.6202.X.X.191220.X.X.25361.X.X.14202.X.X.52123.X.X.1202.X.X.18061.X.X.1220/20