CNCERT发布2021年三季度DDoS攻击资源分析报告

首页 / 业界 / 报告 /  正文
作者:安全419
来源:CNCERT
发布于:2021-11-24
11月24日,国家互联网应急中心CNCERT发布了《2021年第三季度|我国DDoS攻击资源季度分析报告》,报告围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。
 
CNCERT认为本季度需关注以下几点:
 
1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、荷兰和德国;境内控制端按省份统计,最多位于广东省、北京市和河南省,按归属运营商统计,电信占比最大,境内活跃控制端数量进一步降低。
 
2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于山东省、重庆市和广东省;按归属运营商统计,联通占比最大;境内肉鸡数量相比第二季度增加108.0%。
 
3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、河南省、和山东省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是湖北省、河北省和河南省;数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、广东省和辽宁省;数量最多的归属运营商是电信。
 
4、本季度转发伪造跨域攻击流量的路由器中,位于贵州省、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于河南省、山东省和湖北省的路由器数量最多。
 
DDoS攻击资源分析
 
1、控制端资源分析
 
2021年第3季度CNCERT/CC监测发现,利用肉鸡发起的DDoS攻击活跃控制端有500个,境外控制端占比97.0%、云平台控制端占比77.2%,境内控制端数量进一步降低。
 
在位于境外控制端按国家或地区统计,排名前三位分别为美国(44.1%)、荷兰(9.7%)和德国(8.9%)。
 
位于境内控制端按省份统计,排名前三位分别为广东省(20.0%)、北京市(20.0%)和河南省(13.3%);按运营商统计,电信占26.7%,联通占6.7%,其他占比66.7%。
 
 
发起攻击最多的境内控制端地址前十名及归属如上表所示,位于上海市的地址最多。
 
2、肉鸡资源分析
 
2021年第3季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡1004384个,其中境内肉鸡占比96.5%、云平台肉鸡占比1.9%,境内肉鸡数量相比第二季度增加108.0%。
 
位于境外的肉鸡按国家或地区统计,排名前三位的分别为德国(14.8%)、美国(14.1%)和日本(13.4%)。
 
位于境内的肉鸡按省份统计,排名前三位的分别为山东省(12.4%)、重庆市(9.4%)和广东省(7.2%);按运营商统计,联通占48.4%,电信占47.4%,移动占2.7%。
 
 
参与攻击最多的境内肉鸡地址前二十名及归属如上表所示,位于北京市的地址最多。
 
3、反射攻击资源分析
 
2021年第3季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器共1701128台,其中境内反射服务器占比85.6%,Memcached反射服务器占比5.1%,NTP反射服务器占比23.1%,SSDP反射服务器占比71.8%。
 
(1)Memcached反射服务器资源
 
Memcached反射攻击利用了互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
 
2021年第3季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器86714个,其中境内反射服务器占比97.1%、云平台反射服务器占比2.7%。位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(27.5%)、德国(7.8%)和俄罗斯(5.2%)。位于境内的反射服务器按省份统计,排名前三位的分别为广东省(20.5%)、河南省(16.8%)和山东省(11.7%);按运营商统计,电信占49.6%,移动占35.9%,联通占13.8%。
 
(2)NTP反射服务器资源
 
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
 
2021年第3季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器392819个,其中境内反射服务器占比54.4%、云平台反射服务器占比4.2%。位于境外的反射服务器按国家或地区统计,排名前三位的分别为越南(60.2%)、巴西(10.8%)和中国香港(7.2%)。位于境内的反射服务器按省份统计,排名前三位的分别为湖北省(26.6%)、河北省(16.1%)和河南省(12.5%);按运营商统计,联通占56.5%,电信占33.0%,移动占8.6%。
 
(3)SSDP反射服务器资源
 
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
 
2021年第3季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器1221595个,其中境内反射服务器占比94.8%、云平台反射服务器占比0.2%。位于境外的反射服务器按国家或地区统计,排名前三位的分别为中国台湾(26.1%)、加拿大(10.6%)和美国(8.3%)。位于境内的反射服务器按省份统计,排名前三位的分别为浙江省(18.8%)、广东省(14.2%)和辽宁省(14.1%);按运营商统计,电信占55.4%,联通占42.9%,移动占1.4%。
 
4、转发伪造流量的路由器分析
 
(1)跨域伪造流量来源路由器
 
2021年第3季度CNCERT/CC监测发现,转发跨域伪造流量的路由器138个;按省份统计,排名前三位的分别为贵州省(14.5%)、四川省(13.8%)和江苏省(8.7%);按运营商统计,移动占42.0%,电信占38.4%,联通占19.6%。
 
(2)本地伪造流量来源路由器
 
2021年第3季度CNCERT/CC监测发现,转发本地伪造流量的路由器934个;按省份统计,排名前三位的分别为河南(9.6%)、山东省(9.1%)和湖北省(7.5%);按运营商统计,电信占48.1%,移动占27.1%,联通占24.8%。