收藏
下载资源 加入会员免费下载

我国DDoS攻击资源月度及2018年上半年治理情况分析报告.pdf

返回 相关 举报
我国DDoS攻击资源月度及2018年上半年治理情况分析报告.pdf_第1页
第1页 / 共34页
我国DDoS攻击资源月度及2018年上半年治理情况分析报告.pdf_第2页
第2页 / 共34页
我国DDoS攻击资源月度及2018年上半年治理情况分析报告.pdf_第3页
第3页 / 共34页
我国DDoS攻击资源月度及2018年上半年治理情况分析报告.pdf_第4页
第4页 / 共34页
我国DDoS攻击资源月度及2018年上半年治理情况分析报告.pdf_第5页
第5页 / 共34页
亲,该文档总共34页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
我国 DDoS 攻击资源月度 及 2018 年上 半年治理情况分析 报告 (2018 年 6 月 ) 国家计算机网络应急技术处理协调中心 2018 年 6 月 CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 2/ 34 目 录 一、引言 . 3 (一)攻击资源定义 . 3 (二)重点关注情况 . 4 二、 DDoS 攻击资源月度分析 . 5 (一)控制端资源分析 . 5 (二)肉鸡资源分析 . 8 (三)反射攻击资源分析 . 11 (四)发起伪造流量的路由器分析 . 21 1、跨域伪造流量来源路由器 . 21 2、本地伪造流量来源路由器 . 22 三、近半年我国境内攻击资源活跃及治理情况分析 . 23 ( 一 ) 我国境内攻击资源活跃情况分析 . 24 1、控制端资源 . 24 2、肉鸡资源 . 24 3、反射服务器资源 . 25 4、跨域伪造流量来源路由器资源 . 26 5、本地伪造流量来源路由器资源 . 27 ( 二 )近半年 各省治理情况分析 . 28 1、控制端资源 . 29 2、肉鸡资源 . 30 3、反射服务器资源 . 31 4、跨域伪造流量来源路由器资源 . 32 5、本地伪造来源路由器资源 . 33 CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 3 / 34 一、引言 (一)攻击资源定义 本报告为 2018年 6月份的 DDoS攻击资源月度分析 及半年治理情况分析 报告。围绕互联网环境威胁治理问题,基于CNCERT监测的 DDoS攻击事件数据进行抽样分析,重点对“ DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括: 1、 控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源,指被控制端利用,向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如 DNS 服务器, NTP 服务器等),它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、 跨域伪造流量来源路由器,是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该 路由器下的网络中存在发动 DDoS 攻击的设备。 CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 4/ 34 5、 本地伪造流量来源路由器,是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中,一次 DDoS 攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个 DDoS 攻击,攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为 24 小时或更多,则该事件被认为是两次攻击。此外, DDoS 攻击资源及攻击目标地址均指其 IP 地址,它们的地理位置由它的 IP 地址定位得到。 (二)重点关注情况 1、本月利用 肉鸡发起 DDoS 攻击的控制端中,境外控制端 近 一半位于美国;境内控制端最多位于 北京市 ,其次是 浙江省、河南省和贵州省 ,按归属运营商统计,电信占的比例最大。 2、本月参与攻击较多的肉鸡地址主要位于 北京市 、 贵州省、四川省和云南省 ,其中大量肉鸡地址归属于电信运营商。2018 年 以来监测到的持续活跃的肉鸡资源中,位于山东省、上海市、广东省占的比例最大。 3、本月被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的省份是 山东省 、 广东省 和 北京市,数量最多的归属运营商是电信。被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是 广东 省、 山东省 和 甘肃 省;数量最多的归属运营商是 移动 。被利用发起CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 5/ 34 SSDP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是 辽宁 省 、 江苏 省和河南省;数量最多的归属运营商是联通 。 4、 本月 转发伪造跨域攻击流量的路由器中,归属于新疆维吾尔自治区移动的 某 路由器参与的攻击事件数量最多 ; 北京市 、 江苏省和山东 省的跨域伪造来源 路由器数量最多。 5、 本月 转发伪造本地攻击流量的路由器中,归属于 山西省 电信的 某 路由器参与的攻击事件数量最多 ; 江苏省、 山 西省、陕西省和广东省 的本地伪造流量来源 路由器数量最多。 6、经过半年来 针对我国境内 的 攻击 资源 的 专项治理工作,境内 控制端、肉鸡等资源的月活跃数量 较 2017 年 有了较明显的下降趋势; 境内 控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源 近三个月 每月的新增率、消亡率相比2017 年月度平均数值有一定 程度 的 上升 ,意味着资源变化速度加快,可被利用的资源稳定性降低; 境内 反射服务器资源每月的新增率、消亡率相比 2017 年月度平均数值,新增率 变化不明显 、消亡率呈现一定程度的下降,意味着可利用的资源数量逐步减少。 二、 DDoS 攻击资源 月度 分 析 (一)控制端资源分析 根据 CNCERT 抽样监测数据, 2018 年 6 月 ,利用肉鸡发起CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 6/ 34 DDoS 攻击的控制端有 277 个,其中, 28 个控制端位于我国境内, 249 个控制端位于境外。 位于境外的控制端按国家或地区分布,美国占的比例最大,占 42.6%,其次是 法国 和 中国香港 ,如图 1 所示。 图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布 位于境内的控制端按省份统计, 北京市 占的比例最大,占28.6%,其次是浙江 省、 河南省 和 贵州省 ;按运营商统计,电信占的比例最大,占 53.6%,联通占 14.3%,如图 2 所示。 图 2 本月发起 DDoS 攻击的 境内控制端数量按省份和运营商分布 发起攻击最多的境内控制端前二十名及归属如表 1 所示,主要位于江苏省和浙江省。 表 1 本月发起攻击最多的境内控制端 TOP20 控制端地址 归属省份 归属运营商或云服务商 CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 7/ 34 123.X.X.143 贵州省 电信 222.X.X.88 江苏省 电信 123.X.X.28 贵州省 电信 118.X.X.50 广东省 电信 115.X.X.105 浙江省 电信 42.X.X.152 河南省 联通 14.X.X.241 广东省 电信 114.X.X.150 北京市 电信 139.X.X.51 上海市 阿里云 61.X.X.112 江苏省 电信 119.X.X.73 山东省 联通 42.X.X.198 河南省 联通 123.X.X.85 贵州省 电信 42.X.X.193 河南省 联通 118.X.X.246 辽宁省 腾讯云 122.X.X.165 浙江省 电信 115.X.X.74 浙江省 电信 115.X.X.191 浙江省 电信 182.X.X.227 上海市 腾讯云 114.X.X.239 北京市 电信 2018 年 1 月至今监测到的控制端中, 4.7%的控制端在本月仍处于活跃状态,共计 69 个,其中位于我国境内的控制端数量为 33 个,位于境外的控制端数量为 36 个。持续活跃的境内控制端及归属如表 2 所示。 表 2 2018 年以来持续活跃发起 DDOS 攻击的境内控制端 控制端 地址 归属省份 归属运营商 14.X.X.173 云南省 联通 211.X.X.156 湖北省 联通 218.X.X.30 黑龙江省 联通 121.X.X.62 浙江省 电信 42.X.X.104 辽宁省 联通 113.X.X.35 广东省 电信 115.X.X.39 浙江省 电信 220.X.X.164 天津市 联通 123.X.X.169 山东省 联通 61.X.X.60 河南省 联通 117.X.X.110 陕西省 电信 183.X.X.75 浙江省 电信 CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 8/ 34 183.X.X.19 浙江省 电信 139.X.X.174 吉林省 联通 115.X.X.206 浙江省 电信 117.X.X.199 陕西省 电信 222.X.X.48 江苏省 电信 111.X.X.158 北京市 联通 27.X.X.34 山东省 联通 111.X.X.159 北京市 联通 123.X.X.153 山东省 联通 117.X.X.112 江西省 电信 101.X.X.195 北京市 电信 61.X.X.89 河南省 联通 111.X.X.196 江西省 电信 117.X.X.207 陕西省 电信 117.X.X.107 江西省 电信 113.X.X.149 重庆市 联通 175.X.X.203 湖南省 电信 121.X.X.108 河北省 联通 61.X.X.201 江苏省 电信 183.X.X.41 浙江省 电信 183.X.X.35 浙江省 电信 2018 年 1 月 至今持续活跃的境内控制端按省份统计,浙江省所占比例最大,为 21.2%;按运营商统计,电信占的比例最大,为 54.5%,联通占 45.5%,如图 3 所示。 图 3 2018 年以来持续活跃发起 DDoS 攻击的 境内控制端数量按省份和运营商分布 (二)肉鸡资源分析 根据 CNCERT 抽样监测数据, 2018 年 6 月 ,共有 117,690CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 9/ 34 个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。 这些肉鸡资源按省份统计, 北京市 占的比例最大,为 7.9%,其次是 贵州 省、 四川 省和 云 南省;按运营商统计,电信占的比例最大,为 54.0%,联通占 25.7%,移动占 17.5%,如图 4 所示。 图 4 本月肉鸡地址数量按省份和运营商分布 本月参与攻击最多的肉鸡地址前二十名及归属如表 3 所示,位于 山西省 的地址最多。 表 3 本月参 与攻击最多的肉鸡地址 TOP20 肉鸡地址 归属省份 归属运营商 58.X.X.148 山东省 电信 124.X.X.2 山西省 联通 123.X.X.32 内蒙古自治区 电信 122.X.X.199 河南省 联通 183.X.X.66 山西省 移动 111.X.X.2 山西省 移动 58.X.X.12 山东省 电信 60.X.X.211 山西省 联通 106.X.X.223 新疆维吾尔 族 自治区 电信 124.X.X.2 河南省 联通 118.X.X.101 四川省 电信 112.X.X.146 安徽省 联通 CNCERT 我国 DDoS 攻击资源月度及半年治理情况分析报告 10/ 34 111.X.X.53 吉林省 移动 114.X.X.253 北京市 待确认 116.X.X.243 河南省 联通 125.X.X.214 北京市 联通 119.X.X.110 宁夏回族自治区 电信 39.X.X.51 江西省 移动 61.X.X.114 河南省 联通 114.X.X.11 北京市 联通 2018 年 1 月 至今 监测到的肉鸡资源中,共计 14,451 个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为11,620 个,位于境外的肉鸡数量为 2,831 个。 2018 年 1 月 至今 被 持续 利用发起 DDoS 攻击最多的肉鸡 TOP20 及归属如表 4所示 ,位于山西省的地址最多 。 表 42018 年以来 被利用发起 DDoS 攻击数量排名 TOP20,且在本月持续活跃的肉鸡地址 肉鸡地址 归属省份 归属运营商 58.X.X.148 山东省 电信 124.X.X.2 山西省 联通 123.X.X.32 内蒙古自治区 电信 122.X.X.199 河南省 联通 183.X.X.66 山西省 移动 111.X.X.2 山西省 移动 60.X.X.211 山西省 联通 106.X.X.223 新疆维吾尔 族 自治区 电信 124.X.X.2 河南省 联通 118.X.X.101 四川省 电信 112.X.X.146 安徽省 联通 111.X.X.53 吉林省 移动 114.X.X.253 北京市 待确认 116.X.X.243 河南省 联通 39.X.X.51 江西省 移动 61.X.X.114 河南省 联通 114.X.X.11 北京市 联通 183.X.X.15 北京市 待确认 122.X.X.13 河南省 电信 61.X.X.28 甘肃省 电信 2018 年 1 月至今持续活跃的境内肉鸡资源按省份统计,
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642