CNCERT-2017年我国DDoS攻击资源分析报告.docx

国家计算机网络应急技术处理协调中心 2017年12月 2017年我国DDoS攻击资源分析报告 2017年我国DDoS攻击资源分析报告 PAGE \* MERGEFORMAT 8 / 19 PAGE \* MERGEFORMAT 7 / 19 2017年我国DDoS攻击资源分析报告 PAGE \* MERGEFORMAT 2 / 19 目 录 一、引 言 3 二、DDoS 攻击资源分析 4 一、引 言 近期，CNCERT 深度分析了我国大陆地区发生的数千起 DDoS（分布式拒绝服务）攻击事件。本报告围绕互联网环境威胁治理问题，对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 控制端资源，指用 控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS 攻击的僵尸主机节点。 反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如 DNS 服务器，NTP 服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。 反射攻击流量 源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造 IP 地址，因此反射攻击流量 源路由器本质上也是跨域伪造流量 源路由器或本地伪造流量 源路由器。由于反射攻击形式特殊，本报告将反射攻击流量 源路由器单独统计。 跨域伪造流量 源路由器，是指转发了大量任意伪造 IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷。且该路由器下的网络中存在发动DDoS攻击的设备。 本地伪造流量 源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动 DDoS攻击的设备。 在本报告中，一次DDoS攻击事件是指在经验攻击周期内， 不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。 二、DDoS攻击资源分析 （一）控制端资源分析 根据 CNCERT 监测数据，今年以 ，利用肉鸡发起 DDoS 攻击的控制端总量为 25,532 个。发起的攻击次数呈现幂律分布，如图 1 所示。平均每个控制端发起过 7.7 次攻击。 位于境内的控制端按省份统计，广东省占的比例最大，占 12.2%；其次是江苏省、四川省和浙江省，如图 3 所示。 DDoS攻击的境内控制端数 按省份分布 体呈现幂律分布， 天被尝试发起了 DDoS 攻击 如图 4 图3发起控制端发起攻击的天次总平均每个控制端在 图3 发起 制端在 119 天范围内发起了攻击，占总监测天数的五分之二。 图4 控制端尝试发起攻击天次呈现幂律分布 控制端尝试发起攻击的月次情况如表 1 所示。平均每个控制端在今年的 1.19 个月发起了 DDoS 攻击，有 3 个控制端地址在至少连续 7 个月次持续发起攻击。 2017年我国DDoS攻击资源分析报告 2017年我国DDoS攻击资源分析报告 PAGE \* MERGEFORMAT 14 / 19 PAGE \* MERGEFORMAT 13 / 19 2017年我国DDoS攻击资源分析报告 PAGE \* MERGEFORMAT 4 / 19 参与攻击最多的肉鸡地址为归属于山西省运城市闻喜县联通的某地址，共参与了 690 次攻击。其次是归属于安徽省铜陵市铜官区联通的某地址，共参与了 482 次攻击；以及归属于贵州省贵阳市云岩区联通的某地址，共参与了 479 次攻击。 这些肉鸡按境内省份统计，北京占的比例最大，占 9%；其次是山西省、重庆市和浙江省，如图 6 所示。按运营商统计，电信占的比例最大，占 49.3%，移动占 23.4%，联通占 21.8%，如图 7 所示。 图7 肉鸡地址数 按运营商分布 肉鸡资源参与攻击的天次总体呈现幂律分布，如图 8 所示。 平均每个肉鸡资源在 1.51 天被利用发起了 DDoS 攻击，最多的肉鸡资源在 145 天范围内被利用发起攻击，占总监测天数的五分之三。 测月份中每个月都被利用以发起 处置。 表2肉鸡参与攻击月次情况 参与攻击月次 肉鸡数 8 2