来源:“国家互联网应急中心CNCERT”微信公众号
本季度重点关注情况
1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、荷兰和德国;境内控制端按省份统计,最多位于上海市、北京市和江苏省,按归属运营商统计,电信占比最大。
2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于江苏省、广东省和浙江省;按归属运营商统计,电信占比最大。
3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是河北省、湖北省和河南省;数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是辽宁省、浙江省和广东省;数量最多的归属运营商是联通。
4、本季度转发伪造跨域攻击流量的路由器中,位于北京市、江苏省和甘肃省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于浙江省、江苏省和四川省的路由器数量最多。
攻击资源定义
本报告为2020年第2季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
DDoS攻击资源分析
1.控制端资源分析
2020年第2季度CNCERT/CC监测发现,利用肉鸡发起DDoS攻击的活跃控制端有1248个,其中境外控制端占比96.4%、云平台控制端占比79.8%,如图1所示,与2020年第1季度相比境外控制端占比进一步提高。
位于境外的控制端按国家或地区统计,排名前三位的分别为美国(36.5%)、荷兰(18.3%)和德国(10.1%),其中如图2所示。
位于境内的控制端按省份统计,排名前三位的分别为上海省(28.9%)、北京市(24.4%)和江苏市(20.0%);按运营商统计,电信占24.4%,联通占15.6%,移动占4.4%,如图3所示。
发起攻击最多的境内控制端地址前二十名及归属如表1所示,位于上海市的地址最多。
2.肉鸡资源分析
2020年第2季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡484550个,其中境内肉鸡占比87.9%、云平台肉鸡占比3.7%,如图4所示。
位于境外的肉鸡按国家或地区统计,排名前三位的分别为越南(18.9%)、美国(12.3%)和中国台湾(7.1%),其中如图5所示。
位于境内的肉鸡按省份统计,排名前三位的分别为江苏省(11.5%)、广东省(10.4%)和浙江省(9.0%);按运营商统计,电信占62.1%,联通占30.3%,移动占6.3%,如图6所示。
参与攻击最多的境内肉鸡地址前二十名及归属如表2所示,位于北京市的地址最多。
3.反射攻击资源分析
2020年第2季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器3654265台,其中境内反射服务器占比67.8%,Memcached反射服务器占比2.4%,NTP反射服务器占比34.9%,SSDP反射服务器占比62.7%。
(1)Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
2020年第2季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器87727个,其中境内反射服务器占比94.1%、云平台反射服务器占比4.3%,如图7所示。
位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(20.9%)、德国(8.0%)和法国(6.7%),其中如图8所示。
位于境内的反射服务器按省份统计,排名前三位的分别为广东省(17.0%)、山东省(7.0%)和湖南省(6.5%);按运营商统计,电信占73.2%,移动占16.3%,联通占9.2%,如图9所示。
被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示,位于北京市的地址最多。
(2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
2020年第2季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器1274394个,其中境内反射服务器占比25.9%、云平台反射服务器占比2.7%,如图10所示。
位于境外的反射服务器按国家或地区统计,排名前三位的分别为越南(56.6%)、巴西(11.0%)和巴基斯坦(5.2%),其中如图11所示。
位于境内的反射服务器按省份统计,排名前三位的分别为河北省(30.2%)、湖北省(14.9%)和河南省(14.3%);按运营商统计,联通占65.3%,电信占26.6%,移动占7.3%,如图12所示。
被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示,位于河南省的地址最多。
(3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
2020年第2季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器2292144个,其中境内反射服务器占比90.0%、云平台反射服务器占比0.1%,如图13所示。
位于境外的反射服务器按国家或地区统计,排名前三位的分别为俄罗斯(17.9%)、中国台湾(10.2%)和美国(6.8%),其中如图14所示。
位于境内的反射服务器按省份统计,排名前三位的分别为辽宁省(17.5%)、浙江省(14.6%)和广东省(11.3%);按运营商统计,联通占55.9%,电信占42.6%,移动占0.7%,如图15所示。
被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示,位于陕西省的地址最多。
(4)转发伪造流量的路由器分析
1. 跨域伪造流量来源路由器
2020年第2季度CNCERT/CC监测发现,转发跨域伪造流量的路由器37个;按省份统计,排名前三位的分别为北京市(24.3%)、江苏省(18.9%)和甘肃省(10.8%);按运营商统计,电信占80.7%,联通占12.3%,移动占7.0%,如图16所示。
根据参与攻击事件的数量统计,参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示,位于江苏省的地址最多。
2. 本地伪造流量来源路由器
2020年第2季度CNCERT/CC监测发现,转发本地伪造流量的路由器214个;按省份统计,排名前三位的分别为浙江省(15.0%)、江苏省(14.5%)和四川省(9.8%);按运营商统计,电信占87.1%,移动占8.4%,联通占4.5%,如图17所示。
根据参与攻击事件的数量统计,参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示,位于江苏省的地址最多。
【声明】文章来源于网上采集整理,版权归原作者所有,如有侵权,请邮件反馈yidunmarket@126.com,我们将尽快核实修改。