股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
分(fēn)析报告 | DDoS盯准了这些网络资源发起攻击!
发布时间 :2021年08月11日
分(fēn)享:
引言
攻击资源定义
本报告為(wèi)2021年第2季度的DDoS攻击资源分(fēn)析报告。围绕互联网环境威胁治理(lǐ)问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分(fēn)析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分(fēn)析。主要分(fēn)析的攻击资源包括:
控制端资源
指用(yòng)来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。
肉鸡资源
指被控制端利用(yòng),向攻击目标发起DDoS攻击的僵尸主机节点。
反射服務(wù)器资源
指能(néng)够被黑客利用(yòng)发起反射攻击的服務(wù)器、主机等设施,它们提供的某些网络服務(wù)(如DNS服務(wù)器,NTP服務(wù)器等),不需要进行认证并且具(jù)有(yǒu)放大效果,又(yòu)在互联网上大量部署,从而成為(wèi)被利用(yòng)发起DDoS反射攻击的网络资源。
跨域伪造流量来源路由器
是指转发了大量任意伪造IP攻击流量的路由器。由于我國(guó)要求运营商(shāng)在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可(kě)能(néng)存在缺陷,且该路由器下的网络中(zhōng)存在发动DDoS攻击的设备。
本地伪造流量来源路由器
是指转发了大量伪造本區(qū)域IP攻击流量的路由器。说明该路由器下的网络中(zhōng)存在发动DDoS攻击的设备。
在本报告中(zhōng),一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时長(cháng)不超过24小(xiǎo)时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔為(wèi)24小(xiǎo)时或更多(duō),则该事件被认為(wèi)是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理(lǐ)位置由它的IP地址定位得到。
本季度重点关注情况
01
本季度利用(yòng)肉鸡发起攻击的活跃控制端中(zhōng),境外控制端按國(guó)家和地區(qū)统计,最多(duō)位于美國(guó)、德(dé)國(guó)和荷兰;境内控制端按省份统计,最多(duō)位于江苏省、浙江省和福建省,按归属运营商(shāng)统计,電(diàn)信占比最大。
02
本季度参与攻击的活跃境内肉鸡中(zhōng),按省份统计最多(duō)位于广东省、辽宁省和福建省;按归属运营商(shāng)统计,電(diàn)信占比最大。
03
本季度被利用(yòng)参与Memcached反射攻击的活跃境内反射服務(wù)器中(zhōng),按省份统计排名(míng)前三名(míng)的省份是广东省、山(shān)东省、和四川省;数量最多(duō)的归属运营商(shāng)是電(diàn)信。被利用(yòng)参与NTP反射攻击的活跃境内反射服務(wù)器中(zhōng),按省份统计排名(míng)前三名(míng)的省份是河北省、浙江省和河南省;数量最多(duō)的归属运营商(shāng)是联通。被利用(yòng)参与SSDP反射攻击的活跃境内反射服務(wù)器中(zhōng),按省份统计排名(míng)前三名(míng)的省份是浙江省、广东省和辽宁省;数量最多(duō)的归属运营商(shāng)是電(diàn)信。
04
本季度转发伪造跨域攻击流量的路由器中(zhōng),位于广东省、四川省和上海市的路由器数量最多(duō)。本季度转发伪造本地攻击流量的路由器中(zhōng),位于江苏省、河南省和浙江省的路由器数量最多(duō)。
DDoS攻击资源分(fēn)析
控制端资源分(fēn)析
2021年第2季度CNCERT/CC监测发现,利用(yòng)肉鸡发起DDoS攻击的活跃控制端有(yǒu)741个,其中(zhōng)境外控制端占比96.6%、云平台控制端占比78.7%,如图1所示。
图1 2021年第2季度发起DDoS攻击的控制端数量境内外分(fēn)布和云平台占比
位于境外的控制端按國(guó)家或地區(qū)统计,排名(míng)前三位的分(fēn)别為(wèi)美國(guó)(46.4%)、德(dé)國(guó)(11.3%)和荷兰(9.2%),其中(zhōng)如图2所示。
图2 2021年第2季度发起DDoS攻击的境外控制端数量按國(guó)家或地區(qū)分(fēn)布
位于境内的控制端按省份统计,排名(míng)前三位的分(fēn)别為(wèi)江苏省(20.0%)、浙江省(12.0%)和福建省(8.0%);按运营商(shāng)统计,電(diàn)信占40.0%,联通占8.0%,其他(tā)占52.0%,如图3所示。
图3 2021年第2季度发起DDoS攻击的境内控制端数量按省份和运营商(shāng)分(fēn)布
发起攻击最多(duō)的境内控制端地址前二十名(míng)及归属如表1所示,位于江苏省的地址最多(duō)。
表1 2021年第2季度发起攻击的境内控制端TOP20
肉鸡资源分(fēn)析
2021年第2季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他(tā)攻击的混合攻击)的肉鸡491680个,其中(zhōng)境内肉鸡占比94.7%、云平台肉鸡占比2.8%,如图4所示。
图4 2021年第2度参与DDoS攻击的肉鸡数量境内外分(fēn)布和云平台占比
位于境外的肉鸡按國(guó)家或地區(qū)统计,排名(míng)前三位的分(fēn)别為(wèi)美國(guó)(20.0%)、西班牙(12.1%)和日本(7.3%),其中(zhōng)如图5所示。
图5 2021年第2季度参与DDoS攻击的境外肉鸡数量按國(guó)家或地區(qū)分(fēn)布
位于境内的肉鸡按省份统计,排名(míng)前三位的分(fēn)别為(wèi)广东省(9.1%)、辽宁省(9.1%)和福建省(7.0%);按运营商(shāng)统计,電(diàn)信占50.8%,联通占39.3%,移动占8.4%,如图6所示。
图6 2021年第2季度参与DDoS攻击的境内肉鸡数量按省份和运营商(shāng)分(fēn)布
参与攻击最多(duō)的境内肉鸡地址前二十名(míng)及归属如表2所示,位于北京市的地址最多(duō)。
表2 2021年第2季度参与攻击最多(duō)的境内肉鸡地址TOP20
反射攻击资源分(fēn)析
2021年第2季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服務(wù)器1988041台,其中(zhōng)境内反射服務(wù)器占比80.0%,Memcached反射服務(wù)器占比3.5%,NTP反射服務(wù)器占比23.7%,SSDP反射服務(wù)器占比72.8%。
(1)Memcached反射服務(wù)器资源
Memcached反射攻击利用(yòng)了在互联网上暴露的大批量Memcached服務(wù)器(一种分(fēn)布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服務(wù)器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服務(wù)器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
2021年第2季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服務(wù)器69635个,其中(zhōng)境内反射服務(wù)器占比96.6%、云平台反射服務(wù)器占比3.1%,如图7所示。
图7 2021年第2季度Memcached反射服務(wù)器数量境内外分(fēn)布和云平台占比
位于境外的反射服務(wù)器按國(guó)家或地區(qū)统计,排名(míng)前三位的分(fēn)别為(wèi)美國(guó)(23.0%)、德(dé)國(guó)(10.5%)和俄罗斯(5.5%),其中(zhōng)如图8所示。
图8 2021年第2季度境外Memcached反射服務(wù)器数量按國(guó)家或地區(qū)分(fēn)布
位于境内的反射服務(wù)器按省份统计,排名(míng)前三位的分(fēn)别為(wèi)广东省(26.7%)、山(shān)东省(7.1%)和四川省(5.0%);按运营商(shāng)统计,電(diàn)信占58.2%,移动占22.6%,联通占18.3%,如图9所示。
图9 2021年第2季度境内Memcached反射服務(wù)器数量按省份和运营商(shāng)分(fēn)布
被利用(yòng)参与Memcached反射攻击最多(duō)的境内反射服務(wù)器地址前二十名(míng)及归属如表3所示,位于江西省的地址最多(duō)。
表3 2021年第2季度被利用(yòng)参与Memcached反射攻击最多(duō)的反射服務(wù)器地址TOP20
(2)NTP反射服務(wù)器资源
NTP反射攻击利用(yòng)了NTP(一种通过互联网服務(wù)于计算机时钟同步的协议)服務(wù)器存在的协议脆弱性,攻击者通过向NTP服務(wù)器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服務(wù)器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
2021年第2季度CNCERT/CC监测发现,参与反射攻击的NTP反射服務(wù)器471247个,其中(zhōng)境内反射服務(wù)器占比37.5%、云平台反射服務(wù)器占比3.4%,如图10所示。
图10 2021年第2季度NTP反射服務(wù)器数量境内外分(fēn)布和云平台占比
位于境外的反射服務(wù)器按國(guó)家或地區(qū)统计,排名(míng)前三位的分(fēn)别為(wèi)越南(46.0%)、巴西(13.4%)和中(zhōng)國(guó)香港(5.1%),其中(zhōng)如图11所示。
图11 2021年第2季度境外NTP反射服務(wù)器数量按國(guó)家或地區(qū)分(fēn)布
位于境内的反射服務(wù)器按省份统计,排名(míng)前三位的分(fēn)别為(wèi)河北省(23.0%)、浙江省(15.5%)和河南省(13.6%);按运营商(shāng)统计,联通占47.1%,電(diàn)信占41.4%,移动占10.2%,如图12所示。
图12 2021年第2季度境内NTP反射服務(wù)器数量按省份和运营商(shāng)分(fēn)布
被利用(yòng)参与NTP反射攻击最多(duō)的境内反射服務(wù)器地址前二十名(míng)及归属如表4所示,位于云南省的地址最多(duō)。
表4 2021年第2季度被利用(yòng)参与NTP反射攻击最多(duō)的反射服務(wù)器地址TOP20
(3)SSDP反射服務(wù)器资源
SSDP反射攻击利用(yòng)了SSDP(一种应用(yòng)层协议,是构成通用(yòng)即插即用(yòng)(UPnP)技(jì )术的核心协议之一)服務(wù)器存在的协议脆弱性,攻击者通过向SSDP服務(wù)器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服務(wù)器向受害者IP地址反射返回比原始数据包大数倍的应答(dá)数据包,从而进行反射攻击。
2021年第2季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服務(wù)器1447159个,其中(zhōng)境内反射服務(wù)器占比93.1%、云平台反射服務(wù)器占比0.2%,如图13所示。
图13 2021年第2季度SSDP反射服務(wù)器数量境内外分(fēn)布和云平台占比
位于境外的反射服務(wù)器按國(guó)家或地區(qū)统计,排名(míng)前三位的分(fēn)别為(wèi)俄罗斯(14.7%)、美國(guó)(10.3%)和韩國(guó)(8.5%),其中(zhōng)如图14所示。
图14 2021年第2季度境外SSDP反射服務(wù)器数量按國(guó)家或地區(qū)分(fēn)布
位于境内的反射服務(wù)器按省份统计,排名(míng)前三位的分(fēn)别為(wèi)浙江省(16.8%)、广东省(14.8%)和辽宁省(13.2%);按运营商(shāng)统计,電(diàn)信占53.8%,联通占44.8%,移动占0.9%,如图15所示。
图15 2021年第2季度境内SSDP反射服務(wù)器数量按省份和运营商(shāng)分(fēn)布
被利用(yòng)参与SSDP反射攻击最多(duō)的境内反射服務(wù)器地址前二十名(míng)及归属如表5所示,位于上海市的地址最多(duō)。
表5 2021年第2季度被利用(yòng)参与SSDP反射攻击最多(duō)的反射服務(wù)器地址TOP20
转发伪造流量的路由器分(fēn)析
(1)跨域伪造流量来源路由器
2021年第2季度CNCERT/CC监测发现,转发跨域伪造流量的路由器66个;按省份统计,排名(míng)前三位的分(fēn)别為(wèi)广东省(18.2%)、四川省(16.7%)和上海市(13.6%);按运营商(shāng)统计,電(diàn)信占39.4%,移动占34.8%,联通占25.8%,如图16所示。
图16 跨域伪造流量来源路由器数量按省份和运营商(shāng)分(fēn)布
根据参与攻击事件的数量统计,参与攻击事件最多(duō)的跨域伪造流量来源路由器地址前二十名(míng)及归属如表6所示,位于四川省的地址最多(duō)。
表6 2021年第2季度参与攻击最多(duō)的跨域伪造流量来源路由器TOP20
(2)本地伪造流量来源路由器
2021年第2季度CNCERT/CC监测发现,转发本地伪造流量的路由器505个;按省份统计,排名(míng)前三位的分(fēn)别為(wèi)江苏省(10.7%)、河南省(9.3%)和浙江省(6.9%);按运营商(shāng)统计,電(diàn)信占52.1%,移动占26.1%,联通占21.8%,如图17所示。
图17 2021年第2季度本地伪造流量来源路由器数量按省份和运营商(shāng)分(fēn)布
根据参与攻击事件的数量统计,参与攻击事件最多(duō)的本地伪造流量来源路由器地址前二十名(míng)及归属如表7所示,位于山(shān)西省的地址最多(duō)。
表7 2021年第2季度参与攻击最多(duō)的本地伪造流量来源路由器TOP20
(文(wén)章转载自:國(guó)家互联网应急中(zhōng)心CNCERT)
分(fēn)享到微信
X