CNCERT：2018年8月我国DDoS攻击资源分析报告

近日，国家互联网应急中心CNCERT发布了2018年8月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。

主要分析的攻击资源包括：

1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。

本月重点关注情况——DDoS攻击资源分析

1、本月利用肉鸡发起DDoS攻击的控制端中，境外控制端接近一半位于美国占37.6%；境内控制端最多位于江苏省占35.7%，其次是浙江省、河南省和广东省，按归属运营商统计，电信占的比例最大72.9%。

2、本月参与攻击较多的肉鸡地址主要位于浙江省、山东省、江苏省和广东省，其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中，位于江苏省、山东省、广东省占的比例最大。

3、Memcached 反射攻击利用了在互联网上暴露的大批量Memcached 服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向 Memcached 服务器 IP 地址的默认端口11211 发送伪造受害者 IP 地址的特定指令 UDP 数据包，使Memcached 服务器向受害者 IP 地址返回比请求数据包大数倍的数据，从而进行反射攻击。

本月被利用发起Memcached反射攻击境内反射服务器数量相比上月有明显下降，按省份统计排名前三名的省份是西藏自治区、四川省和广东省；数量最多的归属运营商是电信。

NTP 反射攻击利用了 NTP（一种通过互联网服务于计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP 服务器 IP 地址的默认端口 123 发送伪造受害者 IP 地址的

Monlist 指令数据包，使 NTP 服务器向受害者 IP 地址反射返回比原始数据包大数倍的数据，从而进行反射攻击。

被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、湖北省和河南省；数量最多的归属运营商是联通。

SSDP 反射攻击利用了 SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议脆弱性，攻击者通过向 SSDP 服务器 IP 地址的默认端口 1900 发送伪造受害者 IP 地址的查询请求，使 SSDP 服务器向受害者 IP地址反射返回比原始数据包大数倍的应答数据包，从而进行反射攻击。

被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、江苏省和浙江省；数量最多的归属运营商是联通。

4、近两月，跨域伪造流量来源路由器数量有较明显的下降。本月转发伪造跨域攻击流量的路由器中，归属于北京市的路由器参与的攻击事件数量最多，2018年以来被持续利用的跨域伪造流量来源路由器中，归属于北京市、浙江省和上海市路由器数量最多。

5、本月转发伪造本地攻击流量的路由器中，归属于浙江省电信的路由器参与的攻击事件数量最多，2018年以来被持续利用的本地伪造流量来源路由器中，归属于江苏省、山东省、河南省和湖南省路由器数量最多。

报告全文PDF版本：http://www.cert.org.cn/publish/main/upload/File/20180917%20%20DDoS.pdf

来源：国家互联网应急中心CNCERT