CNCERT 2017年我国DDoS攻击资源分析报告在线下载,免费下载

2017 年我国 DDoS 攻击资源分析报告国家计算机网络应急技术处理协调中心 2017 年 12 月 2017 年我国 DDoS 攻击资源分析报告目一、引录言.................................................................................................................... 3 二、DDoS 攻击资源分析 .............................................................................................. 4 （一）控制端资源分析........................................................................................ 4 （二）肉鸡资源分析............................................................................................ 7 （三）反射攻击资源分析.................................................................................. 10 1．反射服务器资源 ................................................................................. 10 2．反射攻击流量来源路由器 ................................................................. 13 （四）发起伪造流量的路由器分析.................................................................. 14 1. 跨域伪造流量来源路由器 .................................................................. 14 2. 本地伪造流量来源路由器 .................................................................. 17 2 / 19 2017 年我国 DDoS 攻击资源分析报告一、引言近期，CNCERT 深度分析了我国大陆地区发生的数千起 DDoS（分布式拒绝服务）攻击事件。本报告围绕互联网环境威胁治理问题，对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起 DDoS 攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如 DNS 服务器，NTP 服务器等），它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造 IP 地址，因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊，本报告将反射攻击流量来源路由器单独统计。 5、跨域伪造流量来源路由器，是指转发了大量任意伪造 IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下 3 / 19 2017 年我国 DDoS 攻击资源分析报告路由器的源地址验证配置可能存在缺陷。且该路由器下的网络中存在发动 DDoS 攻击的设备。 6、本地伪造流量来源路由器，是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动 DDoS 攻击的设备。在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地理位置由它的 IP 地址定位得到。二、DDoS 攻击资源分析（一）控制端资源分析根据 CNCERT 监测数据，今年以来，利用肉鸡发起 DDoS 攻击的控制端总量为 25,532 个。发起的攻击次数呈现幂律分布，如图 1 所示。平均每个控制端发起过 7.7 次攻击。 4 / 19 2017 年我国 DDoS 攻击资源分析报告图 1 控制端利用肉鸡发起 DDoS 攻击的事件次数呈幂律分布位于境外的控制端按国家或地区分布美国占的比例最大位于境外的控制端按国家或地区分布，占的比例最大，占 10.1%；其次是韩国和中国台湾韩国和中国台湾，如图 2 所示。。图 2 发起 DDoS 攻击的境外控制端数量按国家或地区 TOP30 位于境内的控制端控制端按省份统计，广东省占的比例最大占的比例最大，占 12.2%；其次是江苏江苏省、四川省和浙江省，如图 3 所示。所示 5 / 19 2017 年我国 DDoS 攻击资源分析报告图 3 发起 DDoS 攻击的境内控制端数量按省份分布控制端发起攻击的天次总体呈现幂律分布攻击的天次总体呈现幂律分布，如图如图 4 所示。平均每个控制端在在 1.51 天被尝试发起了 DDoS 攻击，攻击最多的控制端在 119 天范围内发起了攻击，占总监测天数的天范围内发起占总监测天数的五分之二。图 4 控制端尝试发起攻击天次呈现幂律分布控制端尝试发起控制端尝试发起攻击的月次情况如表 1 所示。平均每个控制端在今年的 1.19 19 个月发起了 DDoS 攻击，有 3 个控制端地址个控制端在至少连续 7 个月次持续发起攻击。个月次 6 / 19 2017 年我国 DDoS 攻击资源分析报告表 1 控制端发起攻击月次情况月次控制端数量 7 3 6 18 5 169 4 333 3 539 2 2013 1 22456 （二）肉鸡资源分析根据 CNCERT 监测数据，利用真实肉鸡地址直接攻击（包含直接攻击与其它攻击的混合攻击）的 DDoS 攻击事件占事件总量的 80%。其中，共有 751,341 个真实肉鸡地址参与攻击，涉及 193,723 个 IP 地址 C 段。肉鸡地址参与攻击的次数总体呈现幂律分布，如图 5 所示，平均每个肉鸡地址参与 2.13 次攻击。图 5 肉鸡地址参与攻击次数呈现幂律分布参与攻击最多的肉鸡地址为归属于山西省运城市闻喜县 7 / 19 2017 年我国 DDoS 攻击资源分析报告联通的某地址，共参与了参与了 690 次攻击。其次是归属于安徽省铜其次是归属于陵市铜官区联通的某某地址，共参与了 482 次攻击；以及归属于贵州省贵阳市云岩区联通贵州省贵阳市云岩区联通的某地址，共参与了 479 次攻击。这些肉鸡按境内境内省份统计，北京占的比例最大占的比例最大，占 9%；其次是山西省、重庆市和浙江省，重庆市如图 6 所示。按运营商统计，按运营商统计电信占的比例最大，，占 49.3%，移动占 23.4%，联通占 21.8%，如图 7 所示。图 6 肉鸡地址数量按省份分布图 7 肉鸡地址数量按运营商分布 8 / 19 2017 年我国 DDoS 攻击资源分析报告肉鸡资源参与攻击的天次总体呈现幂律分布，如图 8 所示。平均每个肉鸡资源在 1.51 天被利用发起了 DDoS 攻击，最多的肉鸡资源在 145 天范围内被利用发起攻击，占总监测天数的五分之三。图 8 肉鸡参与攻击天次呈现幂律分布肉鸡资源参与攻击的月次总体情况如表 2 所示。平均每个肉鸡资源在今年的 1.11 个月被利用发起了 DDoS 攻击，有 271 个肉鸡地址在连续 8 个月次被利用发起攻击，也就是说，这些肉鸡资源在监测月份中每个月都被利用以发起 DDoS 攻击，没有得到有效的清理处置。表 2 肉鸡参与攻击月次情况参与攻击月次 8 7 6 5 4 3 2 1 肉鸡数量 271 295 759 1488 2916 9434 44530 691648 9 / 19 2017 年我国 DDoS 攻击资源分析报告（三）反射攻击资源分析 1．反射服务器资源根据 CNCERT 监测数据，利用反射服务器发起的反射攻击的 DDoS 攻击事件占事件总量的 25%，其中，共涉及 251,828 台反射服务器，反射服务器被利用以攻击的次数呈现幂律分布，如图 9 所示，平均每台反射服务器参与 1.76 次攻击。图 9 反射服务器被利用攻击次数呈现幂律分布被利用最多发起反射放大攻击的服务器归属于新疆伊犁哈萨克自治州伊宁市移动，共参与了 148 次攻击。其次，是归属于新疆昌吉回族自治州阜康市移动的某地址，共参与了 123 次攻击；以及归属于新疆阿勒泰地区阿勒泰市联通的某地址，共参与了 119 次攻击。反射服务器被利用发起攻击的天次总体呈现幂律分布，如图 10 所示。平均每个反射服务器在 1.38 天被利用发起了 DDoS 攻击，最多的反射服务器在 65 天范围内被利用发起攻击，近占监测总天数的三分之一。 10 / 19 2017 年我国 DDoS 攻击资源分析报告图 10 反射服务器参与攻击天次呈现幂律分布反射服务器被利用发起攻击的月次情况如表 3 所示。平均每个反射服务器在今年的 1.1 个月被利用发起了 DDoS 攻击，有 101 个反射服务器在 8 个月次连续被利用发起攻击，也就是说，这些反射器在监测月份中每个月都被利用以发起 DDoS 攻击. 表 3 反射服务器参与攻击月次情况参与攻击月次 8 7 6 5 4 3 2 1 反射服务器数量 101 196 345 586 1169 2454 11462 235515 反射攻击所利用的服务端口根据反射服务器数量统计、以及按发起反射攻击事件数量统计，被利用最多的均为 1900 端口。被