2018年1月我国DDoS攻击资源分析报告

-回复 -浏览
楼主 2018-07-15 05:00:09
举报 只看此人 收藏本贴 楼主

攻击资源定义


本报告为2018年1月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的受控主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击流量来源路由器单独统计。

5、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

6、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

为保护网络资源信息不被恶意利用,报告中提及的具体IP地址都进行了脱敏处理。


DDos攻击资源分析


1 控制端资源分析


根据CNCERT抽样监测数据,2018年1月,利用肉鸡发起DDoS攻击的控制端总量为1,617个,其中,1,010个控制端位于境内,607个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占44.0%,其次是加拿大和中国香港,如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区TOP30

位于境内的控制端按省份统计,广东省占的比例最大,占15.9%,其次是北京市、上海市和浙江省;按运营商统计,电信占的比例最大,占46.8%,联通占29.3%,移动占15.6%,如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

2017年12月监测到的控制端中,41.1%的控制端在本月仍处于活跃状态,共计627个,其中位于我国境内的控制端数量为557个,位于境外的控制端数量为70个。近两月持续活跃的境内控制端按省份统计,广东省占的比例最大,为13.1%,其次是北京市、浙江省和上海市;按运营商统计,电信占的比例最大,为42.2%,联通占30.2%,移动占18.5%,如图3所示。

图3 近两月活跃的发起DDoS攻击的境内控制端数量按省份和运营商分布


2 肉鸡资源分析


根据CNCERT抽样监测数据,2018年1月,利用真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)的DDoS攻击事件占事件总量的70.3%。其中,共有104,597个肉鸡地址参与攻击,涉及38,482个IP地址C段。

这些肉鸡资源按省份统计,江苏省占的比例最大,为28.8%,其次是重庆市、湖北省和福建省;按运营商统计,电信占的比例最大,为46.3%,移动占41.8%,联通占9.5%,如图4所示。

图4 本月肉鸡地址数量按省份和运营商分布

2017年度攻击月次超过6月次的肉鸡中(共计2094个),监测发现有380个在本月仍活跃,存活率为18.1%。这些活跃肉鸡地址按省份统计,辽宁省的数量最多,为68个,其次是江苏省、河南省和上海市;按运营商统计,电信占的比例最大,占43.3%,联通占39.3%,移动占13.2%,如图5所示。

图5 2017年度攻击月次超过6月次且本月仍活跃的肉鸡数量按省份和运营商分布

2017年12月监测到的肉鸡资源中,5.9%的肉鸡在本月仍处于活跃状态,共计8161个。近两月持续活跃的肉鸡资源按省份统计,江苏省占的比例最大,占31.4%,其次是福建省、重庆市和内蒙古自治区;按运营商统计,移动占的比例最大,占53.0%,电信占40.0%,联通占6.2%,如图6所示。

图6 近两月持续活跃的肉鸡数量按省份和运营商分布

3 反射攻击资源分析



反射服务器资源

根据CNCERT抽样监测数据,2018年1月,利用反射服务器发起的反射攻击的DDoS攻击事件占事件总量的21.7%,共涉及33,731台反射服务器。

反射攻击所利用的服务端口根据反射服务器数量统计、以及按发起反射攻击事件数量统计,被利用最多的均为1900端口。如图7所示。

图7 本月反射攻击利用端口根据服务器数量及事件数量统计

根据反射服务器数量按省份统计,河北省占的比例最大,占19.1%,其次是福建省、内蒙古自治区和江苏省;按运营商统计,联通占的比例最大,占49.6%,电信占比41.5%,移动占比8.4%,如图8所示。

图8 本月反射服务器数量按省份和运营商分布

2017年度被利用发起攻击超过6月次的反射服务器中(共计1151个),监测发现有481个在本月仍活跃,存活率为41.8%。这些持续被利用的反射服务器按省份统计,贵州省的数量最多,为84个,其次是湖北省、辽宁省和新疆维吾尔自治区;按运营商统计,电信占的比例最大,占42.8%,移动占30.5%,联通占26.3%,如图9所示。

图9 2017年被利用发起攻击超过6月次且本月仍活跃的反射服务器数量按省份运营商分布

2017年12月监测到的反射服务器资源中,7.0%的反射服务器在本月仍处于活跃状态,共计2231个。这些近两月持续活跃的反射服务器资源按省份统计,福建省占的比例最大,为15.7%,其次是江苏省、贵州省和四川省;按运营商统计,电信占的比例最大,为53.4%,联通占29.7%,移动占16.0%,如图10所示。

图10 近两月持续活跃的反射服务器数量按省份和运营商分布

根据发起反射攻击事件的来源路由器数量按省份统计,北京市占的比例最大,占10.2%,其次是浙江省、广东省和安徽省;按发起反射攻击事件的来源运营商统计,联通占的比例最大,占51.2%,电信占比48.8%,如图11所示。

图11 本月反射攻击流量来源路由器数量按省份和运营商分布

4 发起伪造流量的路由器分析



跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2018年1月,包含跨域伪造流量的DDoS攻击事件占事件总量的11.8%,较上月的比例(53.4%)有较大程度的下降。通过跨域伪造流量发起攻击的流量来源于52个路由器。根据参与攻击事件的数量统计,归属于吉林省联通的路由器(125.X.X.57、218.X.X.9)参与的攻击事件数量最多,其次是归属于辽宁省移动(211.X.X.44、211.X.X.45)的路由器,如表6所示。在表中用黄色标注的5个跨域攻击流量来源路由器,为2017年被利用发起DDoS攻击次数的排名位列TOP25,且监测发现在本月仍排在前列的路由器地址。

跨域伪造流量涉及路由器按省份分布统计,浙江省占的比例最大,占13.5%,其次是吉林省和上海市;按路由器所属运营商统计,移动占的比例最大,占53.8%,联通占比25.0%,电信占比21.2%,如图12所示。

图12 跨域伪造流量来源路由器数量按省份和运营商分布

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占26.3%,其次是福建省、江西省、及贵州省;按路由器所属运营商统计,电信占的比例最大,占52.2%,移动占比35.5%,联通占比12.4%,如图13所示。

图13 本地伪造流量来源路由器数量按省份和运营商分布

2017年度被利用转发本地伪造攻击流量的路由器超过6月次的本地伪造流量来源路由器中(共计169个),监测发现有69个在1月份仍活跃,存活率为40.8%。这些活跃的转发本地伪造攻击流量的路由器按省份统计,浙江省和江西省数量最多,其次是江苏省、上海市、和福建省;按运营商统计,电信占的比例最大,占79.4%,联通占11.8%,移动占8.8%,如图14所示。

图14 2017年活跃超6月次且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

此外,2017年被利用转发本地伪造流量DDoS攻击事件次数TOP100的路由器中,监测发现有50个在本月仍活跃,存活率为50%。按省份统计,福建省、江西省和江苏省的数量最多;按运营商统计,电信占的比例最大,占89.8%,如图15所示。

图15 2017年被利用TOP100且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

2017年12月监测到的本地攻击流量来源路由器资源中,40.2%的路由器在本月仍处于活跃状态,共计80个。近两月持续活跃的本地攻击流量来源路由器资源按省份统计,江苏省占的比例最大,占32.9%;按运营商统计,电信和联通占的比例最大,占40.5%,如图16所示。

图16 近两月活跃的本地伪造流量来源路由器数量按省份和运营商分布

本月攻击资源治理效果分析



1 攻击资源维度



控制端资源

根据CNCERT抽样监测数据,与2017年12月相比,本月利用肉鸡发起DDoS攻击的控制端总量较之增加93个,其中境内控制端数量比12月减少246个,境外控制端数量比12月增加339个。其中境内控制端中,浙江省减少数量最多,达44个,其次是河南省、陕西省和北京市;而宁夏回族自治区相比于上月境内控制端数量提高最多,达13个,如图17所示。

图17 近两月各省份控制端数量变化情况

肉鸡资源

根据CNCERT抽样监测数据,本月利用肉鸡资源发起DDoS攻击的境内肉鸡数量按省份统计,江苏省最多,占28.8%,其次是重庆市、湖北省和福建省。相较于2017年12月的肉鸡资源数量,北京市本月减少的肉鸡数量最多,达15,930个,其次是湖北省、浙江省和四川省,山西省本月未监测发现被利用发起攻击的肉鸡地址;而江苏省相比于12月肉鸡IP数增加最多,达7,757个,如图18所示。

图18 近两月各省份肉鸡数量变化情况

反射服务器资源

根据CNCERT抽样监测数据,本月利用境内反射服务器发起反射攻击的服务器数量按省份统计,河北省最多,占19.1%,其次是福建省、内蒙古自治区和江苏省。相较于2017年12月份利用反射服务器发起反射攻击的服务器数量,山东省减少的数量最多,达2,832个,其次是北京市和浙江省;而河北省相比于12月反射服务器数量增加最多,达2,131个,如图19所示。

图19 近两月各省份反射服务器数量变化情况

反射来源服务器资源

根据CNCERT抽样监测数据,境内转发反射攻击流量主要来源于42个运营商路由器,根据涉及的路由器数量按照省份统计,归属于北京市的路由器最多,其次是安徽省、浙江省以及上海市。相较于2017年12月份,北京市本月减少的反射攻击流量来源路由器数量最多,达8个,其次是江苏省、广东省和江西省,如图20所示,图中未出现的省份表示两月均未发现来源于该省的转发反射攻击流量的路由器。

图20 近两月各省份反射攻击来源路由器数量变化情况

跨域伪造流量来源路由器资源

根据CNCERT抽样监测数据,本月转发跨域伪造流量的运营商路由器按省份统计,浙江省所占比例最大,为13.0%,其次是吉林省和上海市。相较于2017年12月的跨域伪造流量来源服务器资源,北京市本月份减少的路由器数量最多,达17个,其次是广东省、山东省和云南省;而内蒙古自治区、河北省、新疆、江西省和吉林省的路由器数量有所增加,如图21所示,其中未出现的省份表示两月均未发现来源于该省的转发跨域伪造攻击流量的路由器。

图21 近两月各省份跨域伪造流量来源路由器数量变化情况

本地伪造流量来源路由器资源

根据CNCERT抽样监测数据,本月转发本地伪造流量的运营商路由器按省份统计,江苏省所占比例最大,为26.3%,其次是福建省、江西省和浙江省。相较于2017年12月份的本地伪造流量来源服务器资源,北京市和广东省本月减少的路由器数量最多,达14个。而四川省的路由器数量增加最多,达4个,如图22所示。

图22 近两月各省份本地伪造流量来源路由器数量变化情况

2 攻击事件维度



真实地址攻击事件

根据CNCERT抽样监测数据,本月利用真实地址发起DDoS攻击的事件按省份统计,江苏省事件数量最多,其次是重庆市、湖北省和浙江省。对比2017年12月各省份的此类攻击事件,北京市本月的事件数减少的最多,其次是广东省、浙江省和湖北省,如图23所示。

图23 近两月各省份真实地址攻击事件数量变化情况

反射攻击事件

根据CNCERT抽样监测数据,本月利用反射服务器发起的DDoS反射攻击事件按省份统计,浙江省的事件数量最多,其次是天津市、重庆市和河北省。对比2017年12月各省份利用反射服务器发起的攻击事件,北京市本月减少的事件数量最多,其次是山西省、陕西省和江苏省。大部分省份的反射攻击事件数量均有所增加,最多的是重庆市、四川省、河北省,如图24所示。

图24 近两月各省份反射攻击事件数量对比

跨域伪造流量攻击

根据CNCERT抽样监测数据,本月包含跨域伪造流量的DDoS攻击事件按省份统计,吉林省的事件数量最多,其次是黑龙江省、辽宁省和河北省。对比2017年12月各省份跨域伪造流量攻击事件,北京市本月事件数量减少的最多,其次是贵州省、广东省和浙江省,如图28所示。从图中可以看出本月治理效果较为明显,大部分省份发出的跨域伪造流量事件数量均有较大程度的减少,如图25所示。

图25 近两月各省份跨域伪造流量攻击事件数量变化情况

本地伪造流量攻击

根据CNCERT抽样监测数据,本月包含本地伪造流量的DDoS攻击事件按省份统计,江苏省事件数量最多,其次是浙江省、上海市和福建省。对比2017年12月各省份本地伪造流量攻击事件,浙江省本月事件数量减少的最多,其次是四川省、湖北省和江苏省,如图26所示。从图中可以看出本月治理效果较为明显,除上海市外,其它省份发出的本地伪造流量事件数量均有不同程度的减少。

图26 近两月各省份本地伪造流量攻击事件数量比较情况

来源:CNCERT


www.cnmstl.net

信安在线:信息安全“生态型”平台

可点击“阅读原文”了解信安在线

我要推荐
转发到