我国 DDoS 攻击资源分析报告 (2021 年第 2 季度) 国家计算机网络应急技术处理协调中心 2021 年 08 月 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 目 录 一、引言 ....................................................................................................................................... 3 (一)攻击资源定义 ....................................................................................................... 3 (二)本季度重点关注情况.......................................................................................... 4 二、DDoS 攻击资源分析......................................................................................................... 5 (一)控制端资源分析 ................................................................................................... 5 (二)肉鸡资源分析 ....................................................................................................... 7 (三)反射攻击资源分析 ............................................................................................ 10 (1)Memcached 反射服务器资源................................................................ 10 CNCERT (2)NTP 反射服务器资源 ............................................................................. 12 (3)SSDP 反射服务器资源 ........................................................................... 15 (四)转发伪造流量的路由器分析 .......................................................................... 17 (1)跨域伪造流量来源路由器 ..................................................................... 17 (2)本地伪造流量来源路由器 ..................................................................... 18 2/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 一、引言 (一)攻击资源定义 本报告为 2021 年第 2 季度的 DDoS 攻击资源分析报告。 围绕互联网环境威胁治理问题,基于 CNCERT 监测的 DDoS 攻击事件数据进行抽样分析,重点对“DDoS 攻击是从哪些网 络资源上发起的”这个问题进行分析。主要分析的攻击资源包 括: 1、 控制端资源,指用来控制大量的僵尸主机节点向攻击 目标发起 DDoS 攻击的僵尸网络控制端。 2、 肉鸡资源,指被控制端利用,向攻击目标发起 DDoS CNCERT 攻击的僵尸主机节点。 3、 反射服务器资源,指能够被黑客利用发起反射攻击的 服务器、主机等设施,它们提供的某些网络服务(如 DNS 服 务器,NTP 服务器等),不需要进行认证并且具有放大效果, 又在互联网上大量部署,从而成为被利用发起 DDoS 反射攻击 的网络资源。 4、 跨域伪造流量来源路由器,是指转发了大量任意伪造 IP 攻击流量的路由器。由于我国要求运营商在接入网上进行 源地址验证,因此跨域伪造流量的存在,说明该路由器或其下 路由器的源地址验证配置可能存在缺陷,且该路由器下的网络 中存在发动 DDoS 攻击的设备。 3/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 5、 本地伪造流量来源路由器,是指转发了大量伪造本区 域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动 DDoS 攻击的设备。 在本报告中,一次 DDoS 攻击事件是指在经验攻击周期 内,不同的攻击资源针对固定目标的单个 DDoS 攻击,攻击周 期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资 源所攻击,但间隔为 24 小时或更多,则该事件被认为是两次 攻击。此外,DDoS 攻击资源及攻击目标地址均指其 IP 地址, 它们的地理位置由它的 IP 地址定位得到。 (二)本季度重点关注情况 1、本季度利用肉鸡发起攻CNCERT 击的活跃控制端中,境外控制 端按国家和地区统计,最多位于美国、德国和荷兰;境内控制 端按省份统计,最多位于江苏省、浙江省和福建省,按归属运 营商统计,电信占比最大。 2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多 位于广东省、辽宁省和福建省;按归属运营商统计,电信占比 最大。 3、本季度被利用参与 Memcached 反射攻击的活跃境内反 射服务器中,按省份统计排名前三名的省份是广东省、山东省、 和四川省;数量最多的归属运营商是电信。被利用参与 NTP 反 射攻击的活跃境内反射服务器中,按省份统计排名前三名的省 4/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 份是河北省、浙江省和河南省;数量最多的归属运营商是联通。 被利用参与 SSDP 反射攻击的活跃境内反射服务器中,按省份 统计排名前三名的省份是浙江省、广东省和辽宁省;数量最多 的归属运营商是电信。 4、本季度转发伪造跨域攻击流量的路由器中,位于广东 省、四川省和上海市的路由器数量最多。本季度转发伪造本地 攻击流量的路由器中,位于江苏省、河南省和浙江省的路由器 数量最多。 二、DDoS 攻击资源分析 (一)控制端资源分析 CNCERT 2021 年第 2 季度 CNCERT/CC 监测发现,利用肉鸡发起 DDoS 攻击的活跃控制端有 741 个,其中境外控制端占比 96. 6%、云平台控制端占比 78.7%,如图 1 所示。 控制端境内外分布 境内 3.4% 控制端云平台占比 其他 21.3% 境外 96.6% 云 78.7% 图 1 2021 年第 2 季度发起 DDoS 攻击的控制端数量境内外分布和云平台占比 位于境外的控制端按国家或地区统计,排名前三位的分别 5/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 为美国(46.4%)、德国(11.3%)和荷兰(9.2%),其中如图 2 所示。 新加坡 3.2% 英国 2.2% 加拿大 3.5% 法国 控制端境外分布 2.1% 其他 11.3% 美国 46.4% 中国香港 5.3% 俄罗斯 5.4% 荷兰 9.2% 德国 11.3% 图 2 2021 年第 2 季度发起 DDoS 攻击的境外控制端数量按国家或地区分布 位于境内的控制端按省份统计,排名前三位的分别为江苏 省(20.0%)、浙江省(12.0%)和福建省(8.0%);按运营商 CNCERT 统计,电信占 40.0%,联通占 8.0%,其他占 52.0%,如图 3 所 示。 控制端境内分布 控制端境内运营商分布 其他 28.0% 北京 8.0% 山东 8.0% 广东 8.0% 江苏 20.0% 浙江 12.0% 福建 8.0% 其他 52.0% 河南 8.0% 电信 40.0% 联通 8.0% 图 3 2021 年第 2 季度发起 DDoS 攻击的境内控制端数量按省份和运营商分布 发起攻击最多的境内控制端地址前二十名及归属如表 1 6/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 所示,位于江苏省的地址最多。 控制端地址 42.X.X.17 103.X.X.35 117.X.X.169 27.X.X.97 103.X.X.99 112.X.X.129 106.X.X.148 43.X.X.12 1.X.X.95 222.X.X.47 222.X.X.95 8.X.X.240 103.X.X.24 103.X.X.150 49.X.X.22 49.X.X.180 122.X.X.168 106.X.X.203 61.X.X.210 222.X.X.177 表 1 2021 年第 2 季度发起攻击的境内控制端 TOP20 归属省份 归属运营商或云服务商 广东 腾讯云 内蒙古 联通 福建 电信 山东 联通 江苏 BGP 多线 浙江 阿里云 广东 BGP 多线 浙江 电信 上海 腾讯云 江苏 电信 江苏 电信 山东 阿里云 内蒙古 BGP 多线 福建 电信 北京 BGP 多线 北京 电信 河南 BGP 多线 重庆 CNCERT 电信 浙江 电信 江苏 电信 (二)肉鸡资源分析 2021 年第 2 季度 CNCERT/CC 监测发现,参与真实地址 攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击) 的肉鸡 491680 个,其中境内肉鸡占比 94.7%、云平台肉鸡占 比 2.8%,如图 4 所示。 7/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 肉鸡境内外分布 境外 5.3% 肉鸡云平台占比 云 2.8% 境内 94.7% 其他 97.2% 图 4 2021 年第 2 度参与 DDoS 攻击的肉鸡数量境内外分布和云平台占比 位于境外的肉鸡按国家或地区统计,排名前三位的分别为 美国(20.0%)、西班牙(12.1%)和日本(7.3%),其中如图 5 所示。 其他 41.3% 肉鸡境外分布 CNCERT 美国 20.0% 西班牙 12.1% 中国香港 2.6% 中国台湾 2.7% 越南 俄罗斯 3.5% 3.1% 韩国 3.5% 日本 巴西 7.3% 3.8% 图 5 2021 年第 2 季度参与 DDoS 攻击的境外肉鸡数量按国家或地区分布 位于境内的肉鸡按省份统计,排名前三位的分别为广东省 (9.1%)、辽宁省(9.1%)和福建省(7.0%);按运营商统计, 电信占 50.8%,联通占 39.3%,移动占 8.4%,如图 6 所示。 8/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 其他 41.8% 肉鸡境内分布 广东 9.1% 辽宁 9.1% 福建 7.0% 江苏 联通 6.9% 39.3% 河北 4.9% 山东 5.1% 四川 5.1% 浙江 5.5% 吉林 5.6% 肉鸡境内运营商分布 移动 8.4% 其他 1.4% 电信 50.8% 图 6 2021 年第 2 季度参与 DDoS 攻击的境内肉鸡数量按省份和运营商分布 参与攻击最多的境内肉鸡地址前二十名及归属如表 2 所 示,位于北京市的地址最多。 肉鸡地址 123.X.X.124 123.X.X.125 124.X.X.117 123.X.X.121 111.X.X.145 47.X.X.114 117.X.X.12 117.X.X.142 106.X.X.9 59.X.X.133 183.X.X.67 49.X.X.95 42.X.X.186 112.X.X.210 211.X.X.194 182.X.X.235 111.X.X.5 8.X.X.90 202.X.X.3 218.X.X.45 表 2 2021 年第 2 季度参与攻击最多的境内肉鸡地址 TOP20 归属省份 归属运营商 北京 BGP 多线 北京 CNCERT BGP 多线 北京 BGP 多线 北京 BGP 多线 北京 联通 广东 阿里云 浙江 移动 甘肃 移动 北京 电信 辽宁 电信 浙江 电信 北京 BGP 多线 广东 腾讯云 浙江 移动 宁夏 移动 贵州 电信 河北 移动 山东 阿里云 新疆 电信 海南 电信 9/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) (三)反射攻击资源分析 2021 年第 2 季度 CNCERT/CC 监测发现,参与反射攻击 的三类重点反射服务器 1988041 台,其中境内反射服务器占比 80.0%,Memcached 反射服务器占比 3.5%,NTP 反射服务器 占比 23.7%,SSDP 反射服务器占比 72.8%。 (1)Memcached 反射服务器资源 Memcached 反射攻击利用了在互联网上暴露的大批量 M emcached 服务器(一种分布式缓存系统)存在的认证和设计 缺陷,攻击者通过向 Memcached 服务器 IP 地址的默认端口 1 1211 发送伪造受害者 IP 地址的特定指令 UDP 数据包,使 Me mcached 服务器向受害者 IP 地址返回比请求数据包大数倍的 CNCERT 数据,从而进行反射攻击。 2021 年第 2 季度 CNCERT/CC 监测发现,参与反射攻击 的 Memcached 反射服务器 69635 个,其中境内反射服务器占 比 96.6%、云平台反射服务器占比 3.1%,如图 7 所示。 反射服务器境内外分布 境外 3.4% 反射服务器云平台占比 云 3.1% 境内 96.6% 10/ 20 其他 96.9% 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 图 7 2021 年第 2 季度 Memcached 反射服务器数量境内外分布和云平台占比 位于境外的反射服务器按国家或地区统计,排名前三位的 分别为美国(23.0%)、德国(10.5%)和俄罗斯(5.5%),其 中如图 8 所示。 反射服务器境外分布 其他 37.2% 中国香港 2.9% 荷兰 3.4% 印度 3.6% 巴西 4.2% 美国 23.0% 德国 10.5% 越南 4.4% 法国 5.3% 俄罗斯 5.5% 图 8 2021 年第 2 季度境外 Memcached 反射服务器数量按国家或地区分布 CNCERT 位于境内的反射服务器按省份统计,排名前三位的分别为 广东省(26.7%)、山东省(7.1%)和四川省(5.0%);按运 营商统计,电信占 58.2%,移动占 22.6%,联通占 18.3%,如 图 9 所示。 反射服务器境内分布 其他 36.1% 广东 26.7% 反射服务器境内运营商分布 联通 18.3% 其他 1.0% 江苏 3.6% 广西 3.7% 浙江 3.9% 山西 山东 7.1% 四川 5.0% 移动 22.6% 云南 4.7% 湖南 4.8% 电信 58.2% 图 9 2021 年第 2 季度境内 Memcached 反射服务器数量按省份和运营商分布 11/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 被利用参与 Memcached 反射攻击最多的境内反射服务器 地址前二十名及归属如表 3 所示,位于江西省的地址最多。 表 3 2021 年第 2 季度被利用参与 Memcached 反射攻击最多的反射服务器地址 Top20 反射服务器地址 222.X.X.62 182.X.X.188 218.X.X.208 122.X.X.132 218.X.X.209 58.X.X.30 171.X.X.17 218.X.X.239 139.X.X.209 171.X.X.100 61.X.X.62 106.X.X.142 114.X.X.136 115.X.X.142 106.X.X.35 61.X.X.85 106.X.X.111 106.X.X.102 121.X.X.63 117.X.X.56 归属省份 黑龙江 云南 江西 浙江 吉林 广东 江西 江西 上海 江西 北京 北京 上海 浙江 江苏 CNCERT 安徽 江苏 广东 广东 甘肃 (2)NTP 反射服务器资源 归属运营商或云服务商 电信 电信 电信 电信 联通 联通 联通 电信 阿里云 联通 联通 电信 京东云 电信 电信 电信 电信 电信 电信 移动 NTP 反射攻击利用了 NTP(一种通过互联网服务于计算 机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向 NTP 服务器 IP 地址的默认端口 123 发送伪造受害者 IP 地址 的 Monlist 指令数据包,使 NTP 服务器向受害者 IP 地址反射 返回比原始数据包大数倍的数据,从而进行反射攻击。 2021 年第 2 季度 CNCERT/CC 监测发现,参与反射攻击 的 NTP 反射服务器 471247 个,其中境内反射服务器占比 37. 12/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 5%、云平台反射服务器占比 3.4%,如图 10 所示。 反射服务器境内外分布 境内 37.5% 反射服务器云平台占比 云 3.4% 境外 62.5% 其他 96.6% 图 10 2021 年第 2 季度 NTP 反射服务器数量境内外分布和云平台占比 位于境外的反射服务器按国家或地区统计,排名前三位的 分别为越南(46.0%)、巴西(13.4%)和中国香港(5.1%), 其中如图 11 所示。 CNCERT 墨西哥 1.5% 中国台湾 1.6% 阿塞拜疆 2.0% 反射服务器境外分布 南非 1.5% 其他 22.2% 越南 46.0% 俄罗斯 2.5% 美国 4.1% 中国香港 5.1% 巴西 13.4% 图 11 2021 年第 2 季度境外 NTP 反射服务器数量按国家或地区分布 位于境内的反射服务器按省份统计,排名前三位的分别为 河北省(23.0%)、浙江省(15.5%)和河南省(13.6%);按 运营商统计,联通占 47.1%,电信占 41.4%,移动占 10.2%, 13/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 如图 12 所示。 反射服务器境内分布 上海 1.6% 江苏 2.1% 其他 14.4% 河北 23.0% 山东 4.4% 广东 浙江 15.5% 山西 湖北 7.0% 13.3% 河南 13.6% 反射服务器境内运营商分布 移动 10.2% 其他 1.3% 电信 41.4% 联通 47.1% 图 12 2021 年第 2 季度境内 NTP 反射服务器数量按省份和运营商分布 被利用参与 NTP 反射攻击最多的境内反射服务器地址前 二十名及归属如表 4 所示,位于云南省的地址最多。 表 4 2021 年第 2 季度被利用参与 NTP 反射攻击最多的反射服务器地址 Top20 反射服务器地址 112.X.X.23 122.X.X.154 222.X.X.30 119.X.X.3 117.X.X.166 182.X.X.157 218.X.X.176 218.X.X.17 114.X.X.115 222.X.X.9 222.X.X.13 58.X.X.134 182.X.X.37 218.X.X.198 59.X.X.178 222.X.X.24 223.X.X.85 223.X.X.187 114.X.X.195 182.X.X.75 CNCERT 归属省份 上海 浙江 云南 北京 安徽 云南 云南 云南 江苏 云南 云南 上海 云南 浙江 辽宁 云南 湖南 湖南 安徽 云南 14/ 20 归属运营商 联通 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) (3)SSDP 反射服务器资源 SSDP 反射攻击利用了 SSDP(一种应用层协议,是构成 通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议 脆弱性,攻击者通过向 SSDP 服务器 IP 地址的默认端口 1900 发送伪造受害者 IP 地址的查询请求,使 SSDP 服务器向受害 者 IP 地址反射返回比原始数据包大数倍的应答数据包,从而 进行反射攻击。 2021 年第 2 季度 CNCERT/CC 监测发现,参与反射攻击 的 SSDP 反射服务器 1447159 个,其中境内反射服务器占比 9 3.1%、云平台反射服务器占比 0.2%,如图 13 所示。 反射服务器境内外分布 境外 6.9% 反射服务器云平台占比 CNCERT 云 0.2% 境内 93.1% 其他 99.8% 图 13 2021 年第 2 季度 SSDP 反射服务器数量境内外分布和云平台占比 位于境外的反射服务器按国家或地区统计,排名前三位的 分别为俄罗斯(14.7%)、美国(10.3%)和韩国(8.5%),其 中如图 14 所示。 15/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 反射服务器境外分布 其他 33.9% 俄罗斯 14.7% 美国 10.3% 委内瑞拉 3.4% 乌克兰 4.4% 日本 5.0% 巴西 5.1% 韩国 8.5% 中国台湾 6.3% 加拿大 8.4% 图 14 2021 年第 2 季度境外 SSDP 反射服务器数量按国家或地区分布 位于境内的反射服务器按省份统计,排名前三位的分别为 浙江省(16.8%)、广东省(14.8%)和辽宁省(13.2%);按 运营商统计,电信占 53.8%,联通占 44.8%,移动占 0.9%,如 图 15 所示。 CNCERT 山西 3.6% 广西 4.3% 反射服务器境内分布 其他 22.6% 浙江 16.8% 广东 14.8% 反射服务器境内运营商分布 移动 其他 0.9% 0.5% 联通 44.8% 电信 53.8% 黑龙江 5.8% 辽宁 13.2% 江苏 四川 6.2% 吉林 6.8% 图 15 2021 年第 2 季度境内 SSDP 反射服务器数量按省份和运营商分布 被利用参与 SSDP 反射攻击最多的境内反射服务器地址 前二十名及归属如表 5 所示,位于上海市的地址最多。 表 5 2021 年第 2 季度被利用参与 SSDP 反射攻击最多的反射服务器地址 Top20 反射服务器地址 归属省份 16/ 20 归属运营商 116.X.X.98 116.X.X.222 60.X.X.203 218.X.X.213 180.X.X.10 27.X.X.62 180.X.X.5 61.X.X.69 218.X.X.163 180.X.X.167 218.X.X.110 60.X.X.115 60.X.X.55 60.X.X.246 218.X.X.194 59.X.X.69 58.X.X.66 218.X.X.187 58.X.X.226 60.X.X.113 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 上海 上海 山西 黑龙江 上海 上海 上海 黑龙江 湖南 上海 湖南 山西 黑龙江 云南 湖南 湖南 上海 湖南 上海 山西 电信 电信 联通 联通 电信 联通 电信 联通 电信 电信 电信 联通 联通 电信 电信 电信 联通 电信 联通 联通 (四)转发伪造流量的路由器分CNCERT 析 (1)跨域伪造流量来源路由器 2021 年第 2 季度 CNCERT/CC 监测发现,转发跨域伪造 流量的路由器 66 个;按省份统计,排名前三位的分别为广东 省(18.2%)、四川省(16.7%)和上海市(13.6%);按运营 商统计,电信占 39.4%,移动占 34.8%,联通占 25.8%,如图 16 所示。 17/ 20 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 跨域伪造流量来源路由器分布 青海 黑龙江3.0% 3.0% 河北 4.5% 其他 24.2% 江苏 7.6% 北京 9.1% 广东 18.2% 四川 16.7% 上海 13.6% 跨域伪造流量来源路由器运营 商分布 联通 25.8% 电信 39.4% 移动 34.8% 图 16 跨域伪造流量来源路由器数量按省份和运营商分布 根据参与攻击事件的数量统计,参与攻击事件最多的跨域 伪造流量来源路由器地址前二十名及归属如表 6 所示,位于四 川省的地址最多。 表 6 2021 年第 2 季度参与攻击最多的跨域伪造流量来源路由器 TOP20 跨域伪造流量来源路由器 211.X.X.15 124.X.X.1 124.X.X.250 211.X.X.14 125.X.X.101 125.X.X.202 183.X.X.1 183.X.X.1 183.X.X.2 183.X.X.2 58.X.X.56 58.X.X.34 60.X.X.2 60.X.X.1 219.X.X.30 221.X.X.9 221.X.X.5 219.X.X.70 118.X.X.169 223.X.X.238 CNCERT 归属省份 四川 上海 上海 四川 吉林 吉林 四川 四川 四川 四川 湖南 湖南 山西 山西 北京 新疆 新疆 北京 四川 四川 18/ 20 归属运营商 移动 电信 电信 移动 联通 联通 移动 移动 移动 移动 联通 联通 联通 联通 电信 移动 移动 电信 电信 移动 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) (2)本地伪造流量来源路由器 2021 年第 2 季度 CNCERT/CC 监测发现,转发本地伪造 流量的路由器 505 个;按省份统计,排名前三位的分别为江苏 省(10.7%)、河南省(9.3%)和浙江省(6.9%);按运营商 统计,电信占 52.1%,移动占 26.1%,联通占 21.8%,如图 17 所示。 本地伪造流量来源路由器分布 江苏 10.7% 河南 其他 40.4% 9.3% 浙江 6.9% 湖南 5.9% 河北 5.0% 广东 5.1% 云南 5.1% 山西 5.9% CNCERT 江西 5.5% 本地伪造流量来源路由器运营 商分布 联通 21.8% 移动 26.1% 电信 52.1% 图 17 2021 年第 2 季度本地伪造流量来源路由器数量按省份和运营商分布 根据参与攻击事件的数量统计,参与攻击事件最多的本地 伪造流量来源路由器地址前二十名及归属如表 7 所示,位于山 西省的地址最多。 表 7 2021 年第 2 季度参与攻击最多的本地伪造流量来源路由器 TOP20 本地伪造流量来源路由器 219.X.X.70 59.X.X.1 59.X.X.2 123.X.X.2 123.X.X.1 219.X.X.2 219.X.X.1 59.X.X.1 归属省份 北京 山西 山西 内蒙古 内蒙古 山西 山西 山西 归属运营商 电信 电信 电信 电信 电信 电信 电信 电信 19/ 20 222.X.X.127 219.X.X.1 59.X.X.2 219.X.X.30 219.X.X.2 222.X.X.216 222.X.X.218 59.X.X.2 221.X.X.5 61.X.X.168 219.X.X.1 61.X.X.254 我国 DDoS 攻击资源分析报告(2021 年第 2 季度) 江苏 山西 山西 北京 山西 重庆 重庆 山西 江苏 江苏 陕西 江苏 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 电信 CNCERT 20/ 20