本月重点关注情况
攻击资源定义本报告为2018年6月份的DDoS攻击资源月度分析及半年治理情况分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。 DDoS 攻击资源分析(一)控制端资源分析根据CNCERT抽样监测数据,2018年6月,利用肉鸡发起DDoS攻击的控制端有277个,其中,28个控制端位于我国境内,249个控制端位于境外。 位于境外的控制端按国家或地区分布,美国占的比例最大,占42.6%,其次是法国和中国香港,如图1所示。
图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布 位于境内的控制端按省份统计,北京市占的比例最大,占28.6%,其次是浙江省、河南省和贵州省;按运营商统计,电信占的比例最大,占 53.6%,联通占 14.3%,如图 2 所示。
图 2 本月发起 DDoS 攻击的境内控制端数量按省份和运营商分布 发起攻击最多的境内控制端前二十名及归属如表 1 所示,主要位于江苏省和浙江省。 表 1 本月发起攻击最多的境内控制端 TOP20
2018 年 1 月至今监测到的控制端中,4.7%的控制端在本月仍处于活跃状态,共计 69 个,其中位于我国境内的控制端数量为 33 个,位于境外的控制端数量为 36 个。持续活跃的境内控制端及归属如表 2 所示。 表 2 2018年以来持续活跃发起DDOS攻击的境内控制端
2018 年 1 月至今持续活跃的境内控制端按省份统计,浙江省所占比例最大,为 21.2%;按运营商统计,电信占的比例最大,为 54.5%,联通占 45.5%,如图 3 所示。
图 3 2018 年以来持续活跃发起 DDoS 攻击的境内控制端数量按省份和运营商分布
(二)肉鸡资源分析根据 CNCERT 抽样监测数据,2018 年 6 月,共有 117,690个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。 这些肉鸡资源按省份统计,北京市占的比例最大,为 7.9%,其次是贵州省、四川省和云南省;按运营商统计,电信占的比例最大,为 54.0%,联通占 25.7%,移动占 17.5%,如图 4 所示。
图 4 本月肉鸡地址数量按省份和运营商分布 本月参与攻击最多的肉鸡地址前二十名及归属如表 3 所示,位于山西省的地址最多。 表 3 本月参与攻击最多的肉鸡地址 TOP20
2018 年 1 月至今监测到的肉鸡资源中,共计 14,451 个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为11,620 个,位于境外的肉鸡数量为 2,831 个。2018 年 1 月至今被持续利用发起 DDoS 攻击最多的肉鸡 TOP20 及归属如表 4所示,位于山西省的地址最多。 表 4 2018 年以来被利用发起 DDoS 攻击数量排名 TOP20,且在本月持续活跃的肉鸡地址
2018 年 1 月至今持续活跃的境内肉鸡资源按省份统计,浙江省占的比例最大,占 11.6%,其次是山东省、四川省和广东省;按运营商统计,电信占的比例最大,占 63.1%,联通占15.2%,移动占 12.4%,如图 5 所示。
图 5 2018 年以来持续活跃的肉鸡数量按省份和运营商分布 (三)反射攻击资源分析根据根据 CNCERT 抽样监测数据,2018 年 6 月,利用反射服务器发起的三类重点反射攻击共涉及 3,689,197 台反射服务器,其中境内反射服务器 3,451,932 台,境外反射服务器 237,265台。反射攻击所利用 Memcached 反射服务器发起反射攻击的反射服务器有16,055台,占比0.4%,其中境内反射服务器13,410台,境外反射服务器 2,645 台;利用 NTP 反射发起反射攻击的反射服务器有 772,835 台,占比 20.9%,其中境内反射服务器754,496 台,境外反射服务器 18,339 台;利用 SSDP 反射发起反射攻击的反射服务器有 2,900,307 台,占比 78.6%,其中境内反射服务器 2,684,026 台,境外反射服务器 216,281 台。 (1)memcached 反射服务器资源 Memcached 反射攻击利用了在互联网上暴露的大批量Memcached 服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向 Memcached 服务器 IP 地址的默认端口11211 发送伪造受害者 IP 地址的特定指令 UDP 数据包,使Memcached 服务器向受害者 IP 地址返回比请求数据包大数倍的数据,从而进行反射攻击。 根据 CNCERT 抽样监测数据,2018 年 6 月,利用 Memcached服务器实施反射攻击的事件共涉及境内 13,410 台反射服务器,境外 2,645 台反射服务器。 本月境内反射服务器数量按省份统计,山东省占的比例最大,占 15.3%,其次是广东省、北京市和浙江省;按归属运营商或云服务商统计,电信占的比例最大,占 36.7%,移动占比25.9%,联通占比 20.6%,阿里云占比 8.4%,如图 6 所示。
图 6 本月境内 memcached 反射服务器数量按省份、运营商或云服务商分布 本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占 37.5%,其次是中国香港、加拿大和法国,如图 7所示。
图 7 本月境外反射服务器数量按国家或地区分布 本月境内发起反射攻击事件数量 TOP100 中目前仍存活的Memcached 服务器及归属如表 5 所示,位于北京市和河南省的地址最多。 表 5 本月境内发起反射攻击事件数量 TOP100 中仍存活的 Memcached 服务器 TOP30
近两月至今被利用发起攻击的 Memcached 反射服务器中,共计4,215个在本月仍处于活跃状态,其中2,718个位于境内,1,497 个位于境外。近两月至今被持续利用发起攻击的Memcached 反射服务器按省份统计,广东省占的比例最大,占18.7%,其次是北京市、浙江省、和山东省;按运营商或云服务商统计,电信占的比例最大,占 30.5%,阿里云占 28.0%,联通占 14.3%,移动占 11.1%,如图 8 所示。
图 8 近两月被持续利用发起攻击的 memcached 反射服务器数量按省份运营商或云服务商分布 (2)NTP 反射服务器资源 NTP 反射攻击利用了 NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP 服务器 IP 地址的默认端口 123 发送伪造受害者 IP 地址的Monlist 指令数据包,使 NTP 服务器向受害者 IP 地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。 根据 CNCERT 抽样监测数据,2018 年 6 月,NTP 反射攻击事件共涉及我国境内 754,496 台反射服务器,境外 18,339 台反射服务器。被利用发起攻击的 NTP 反射服务器总量较上月有一定数量的回落。 本月被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计,广东省占的比例最大,占 15.6%,其次是山东省、甘肃省和江苏省;按归属运营商统计,移动占的比例最大,占39.9%,电信占比 39.4%,联通占比 19.1%,如图 9 所示。
图 9 本月被利用发起 NTP 反射攻击的境内反射服务器数量按省份和运营商分布 本月被利用发起 NTP 反射攻击的境外反射服务器数量按国家或地区统计,澳大利亚占的比例最大,占 76.1%,其次是美国、巴基斯坦和印度,如图 10 所示。
图 10 本月被利用发起 NTP 反射攻击的境外反射服务器数量按国家或地区分布 本月被利用发起 NTP 反射攻击的境内反射服务器按被利用发起攻击数量排名 TOP25 及归属如表 6 所示,位于山东省和宁夏回族自治区的地址最多。 表 6 本月境内被利用发起 NTP 反射攻击的反射服务器按涉事件数量 TOP25
近两月被持续利用发起攻击的 NTP 反射服务器中,共计27,539 个在本月仍处于活跃状态,其中 26,063 个位于境内,1,476 个位于境外。近两月持续活跃的 NTP 反射服务器按省份统计,河南省占的比例最大,占 36.1%,其次是宁夏回族自治区、湖北省和湖南省;按运营商统计,电信占的比例最大,占44.3%,移动占 24.3%,联通占 19.9%,如图 11 所示。
图 11 近两月被持续利用发起攻击的 NTP 反射服务器数量按省份运营商分布 (3)SSDP 反射服务器资源 SSDP 反射攻击利用了 SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向 SSDP 服务器 IP 地址的默认端口 1900 发送伪造受害者 IP 地址的查询请求,使 SSDP 服务器向受害者IP 地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。 根据 CNCERT 抽样监测数据,2018 年 6 月,SSDP 反射攻击事件共涉及境内 2,684,026 台反射服务器,境外 216,281 台反射服务器。 本月被利用发起 SSDP 反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占 17.3%,其次是江苏省、河南省和浙江省;按归属运营商统计,联通占的比例最大,占54.9%,电信占比 41.4%,移动占比 3.3%,如图 12 所示。
图 12 本月被利用发起 SSDP 反射攻击的境内反射服务器数量按省份和运营商分布 本月被利用发起 SSDP 反射攻击的境外反射服务器数量按国家或地区统计,美国占的比例最大,占 30.9%,其次是中国台湾、加拿大和韩国,如图 13 所示。
图 13 本月被利用发起 SSDP 反射攻击的境外反射服务器数量按国家或地区或地区分布 本月被利用发起 SSDP 反射攻击的境内反射服务器按被利用发起攻击数量排名 TOP20 的反射服务器及归属如表 7 所示,位于云南省和山东省的地址最多。 表 7 本月境内被利用发起 SSDP 反射攻击事件数量中排名 TOP20 的反射服务器
近两月被持续利用发起攻击的 SSDP 反射服务器中,共计423,548 个在本月仍处于活跃状态,其中 297,805 个位于境内,125,743 个位于境外。近两月持续活跃的 SSDP 反射服务器按省份统计,辽宁省占的比例最大,占 36.1%,其次是吉林省、广东省和河北省;按运营商统计,联通占的比例最大,占 65.7%,电信占 29.3%,移动占 4.4%,如图 14 所示。
图 14 近两月被持续利用发起攻击的 SSDP 反射服务器数量按省份运营商分布 (四)发起伪造流量的路由器分析1. 跨域伪造流量来源路由器 根据 CNCERT 抽样监测数据,2018 年 6 月,通过跨域伪造流量发起攻击的流量来源于 193 个路由器。根据参与攻击事件的数量统计,归属于新疆维吾尔自治区移动的路由器(221.X.X.5、221.X.X.9)和北京电信的路由器(219.X.X.70)参与的攻击事件数量最多,如表 8 所示。 表 8 本月参与攻击最多的跨域伪造流量来源路由器 TOP25
跨域伪造流量涉及路由器按省份分布统计,北京市占的比例最大,占 12.4%,其次是江苏省和山东省;按路由器所属运营商统计,联通占的比例最大,占 37.3%,电信占比 31.6%,移动占比 31.1%,如图 15 所示。
图 15 跨域伪造流量来源路由器数量按省份和运营商分布 2. 本地伪造流量来源路由器 根据 CNCERT 抽样监测数据,2018 年 6 月,通过本地伪造流量发起攻击的流量来源于 395 个路由器。根据参与攻击事件的数量统计,归属于山西省电信的路由器(219.X.X.2、219.X.X.10)参与的攻击事件数量最多,其次是归属于山东省电信的路由器(150.X.X.1、150.X.X.2),如表 9 所示。 表 9 本月参与攻击最多的本地伪造流量来源路由器TOP25
本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占 11.1%,其次是山西省、陕西省和广东省;按路由器所属运营商统计,电信占的比例最大,占 45.3%,移动占比30.9%,联通占比 23.0%,如图 16 所示。
图 16 本地伪造流量来源路由器数量按省份和运营商分布 近半年我国境内攻击资源活跃及治理情况分析2018 年以来,CNCERT 组织各省分中心,联合各地运营商、云服务商等对我国境内的攻击资源进行了专项治理。经过半年以来的资源治理工作,综合境内各类攻击资源的变化趋势,我们分析发现控制端、肉鸡等资源的月活跃数量较 2017 年有了较明显的下降趋势;控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源近三个月每月的新增率、消亡率相比 2017 年月度平均数值有一定程度的上升,意味着资源变化速度加快,可被利用的资源稳定性降低;反射服务器资源近三个月每月的新增率、消亡率相比 2017 年月度平均数值,新增率不变、消亡率呈现一定程度的下降,意味着可利用的资源数量逐步减少。资源的具体变化趋势如下: (一)我国境内攻击资源活跃情况分析1、控制端资源 近三个月以来,利用肉鸡发起 DDoS 攻击的境内控制端平均每月数量为 40 个,较 2017 年平均每月数量相比下降 44%。境内控制端资源每月的新增率为 81%,消亡率为 83%,与 2017年平均每月 70%的新增率和 71%的消亡率相比,资源变化速度加快,可被利用的稳定性降低。其中,只有 1 个位于上海的境内控制端(182.X.X.227)在近三个月甚至半年内持续活跃。 2、肉鸡资源 近三个月以来,被利用发起 DDoS 攻击的境内肉鸡平均每月数量为 103,970 个,与 2017 年平均每月数量相比下降近 50%。境内肉鸡资源每月的新增率为 87%,消亡率为 88%,与 2017年平均每月的新增率和的消亡率相比无明显变化;存在 3,209个肉鸡在近三个月内持续活跃,其所属省份和运营商分布如图 17 所示,主要位于浙江省、广东省和山西省,电信占的比例最大。其中,存在 78 个境内肉鸡历史活跃月度超过 12 个月。 图 17 近三个月内持续活跃的境内肉鸡数量按省份和运营商分布 3、反射服务器资源 近三个月以来,利用境内服务器、主机等设施发起 DDoS反射攻击的反射服务器平均数量为 2,812,943 个。境内反射服务器资源每月的新增率为 81%,消亡率为 84%,与 2017 年平均每月的 85%新增率和的 71%消亡率相比,消亡率呈现增快趋势;存在 75,777 个反射服务器在近三个月内持续活跃,其所属省份和运营商分布如图 18 所示,主要位于辽宁省、广东省和吉林省,联通占的比例最大。其中,存在 85 个境内反射服务器历史活跃月度超过 12 个月。
图 18 近三个月内持续活跃的反射服务器数量按省份和运营商分布 4、跨域伪造流量来源路由器资源 近三个月以来,被利用转发跨域伪造攻击流量的境内运营商路由器平均数量为 177 个;境内跨域伪造流量来源路由器资源每月的新增率为 33%,消亡率为 29%,与 2017 年平均每月22%的新增率和 20%的消亡率相比,资源变化速度加快,可被利用的稳定性降低;存在 72 个跨域伪造流量来源路由器在近三个月内持续活跃,其所属省份和运营商分布如图 19 所示,主要位于广东省、上海市和四川省,电信所占的比例最大。其中,存在 9 个历史活跃月度超过 12 个月,详细信息如表 10所示。
图 19 近三个月内持续活跃的跨域伪造流量来源路由器数量按省份和运营商分布 表10 近两年历史活跃月度超过12个月的跨域流量来源路由器信息
5、本地伪造流量来源路由器资源 近三个月以来,被利用转发伪造本区域攻击流量的境内运营商路由器平均数量为 440 个;境内本地伪造流量来源路由器资源每月的新增率为 23%,消亡率为 29%,与 2017 年平均每月14%的新增率和 13%的消亡率相比,资源变化速度有较明显的加快,可被利用的稳定性降低;存在 174 个本地伪造流量来源路由器在近三个月内持续活跃,其所属省份和运营商分布如图20 所示,主要位于江苏省、浙江省和广东省,电信占的比例最大。其中,有 20 个路由器历史活跃月度超过 12 个月,如表11 所示。 图 20 近三个月内持续活跃的本地伪造流量来源路由器数量按省份和运营商分布 表11 近两年历史活跃月度超过12个月的跨域流量来源路由器信息
(二)近半年各省治理情况分析近半年来,各省份资源数量排名变化情况如图 21 至图 25所示,图中纵轴为省份,横轴为排名。红色的点表示各省攻击数量在某月的排名情况,月份越临近,点越大;月份越久远,点越小。例如,最小的点代表的是 2017 年全年各省资源数量排名;最大的点代表的是 2018 年 6 月的资源数量排名。 图体现的排名变化存在以下情况:(1)红点如从左至右由小变,则表明资源排名相较好转,治理效果较明显;(2)红点从左至右由大变小,表明资源排名相较无好转或恶化;(3)红点持续位于左侧,表明资源数量排名一直位于前列;(4)红点持续位于右侧,表明资源数量排在后部;(5)图中未出现的省份,表明 2017 年以来未在该省发现过此类活跃攻击资源。 1、控制端资源 2017 年以来,共监测发现我国境内 535 个曾经发起较大规模 DDoS 攻击的控制端资源,主要位于我国境内 20 个省市,未发现位于甘肃、河北、吉林、内蒙古、宁夏、青海、山东、山西、西藏、新疆等省市的控制端。 各省市控制端资源数量的月度排名变化情况如图 21 所示。从图中可以看出,陕西、天津、湖北、黑龙江、广西、重庆、湖南等省市的控制端资源排名普遍排在后部,或是近期无存活;福建、广东、江苏、上海等省市的控制端资源排名相较有一定的好转;北京、浙江、贵州等省市的控制端资源排名情况相较无好转、或存在一定恶化。 图 21 近半年境内控制端所属省份排名情况变化趋势 2、肉鸡资源 2017 年以来,共监测发现我国境内 1,700,146 个曾经被利用发起较大规模 DDoS 攻击的肉鸡资源。 各省市肉鸡资源数量的月度排名变化情况如图 22 所示。从图中可以看出,青海、宁夏、西藏、甘肃、海南、内蒙古、广西、天津等省市的肉鸡资源排名普遍排在后部,或是近期无存活;湖南、湖北、江西、新疆、重庆等省市的肉鸡资源排名相较有一定的好转;广东、上海、山东、江苏、浙江、山西等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;北京、四川、黑龙江、河北、贵州、河南等省市的肉鸡资源排名情况相较无好转、或存在一定恶化。
图 22 近半年境内肉鸡所属省份排名情况变化趋势 3、反射服务器资源 2017 年以来,共监测发现我国境内 11,199,098 个曾经被利用发起 DDoS 反射攻击的反射服务器资源。 各省市反射服务器资源数量的月度排名变化情况如图 23所示。从图中可以看出,西藏、海南、广西、青海、甘肃、云南、上海等省市的反射服务器资源排名普遍排在后部,或是近期无存活;四川、天津、宁夏、贵州、湖北、福建、北京、新疆等省市的反射服务器资源排名相较有一定的好转;山西、黑龙江、吉林、河北、山东等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;辽宁、广东、江苏、内蒙古、河南、浙江、重庆、安徽、湖南等省市的反射服务器资源排名情况相较无好转、或存在一定恶化。
图 23 近半年境内反射服务器所属省份排名情况变化趋势 4、跨域伪造流量来源路由器资源 2017 年以来,共监测发现我国境内 580 个曾经被利用转发跨域伪造攻击流量的运营商路由器。主要位于 28 个省市,未发现位于宁夏、西藏等省市的转发跨域伪造攻击流量的运营商路由器。 各省市跨域伪造流量来源路由器资源数量的月度排名变化情况如图 24 所示。从图中可以看出,青海、黑龙江、重庆、陕西、山西等省市的被利用资源数量排名普遍排在后部,或是近期无存活;江西、福建、辽宁、河南、河北、甘肃等省市的被利用资源数量排名相较有一定的好转;广东、浙江、上海等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;北京、江苏、山东、贵州、安徽、内蒙古、湖南、新疆等省市的被利用资源数量排名情况相较无好转、或存在一定恶化。
图 24 近半年境内跨域伪造流量来源路由器归属省份排名情况变化趋势 5、本地伪造来源路由器资源 2017 年以来,共监测发现我国境内 1,081 个曾经被利用转发本区域伪造攻击流量的运营商路由器。 各省市本地伪造流量来源路由器资源数量的月度排名变化情况如图 25 所示。从图中可以看出,青海、西藏、海南、天津、内蒙古、重庆、广西、甘肃、吉林、黑龙江等省市的被利用资源数量排名普遍排在后部,或是近期无存活;安徽、上海、四川、湖北、辽宁、云南、江西、新疆等省市的被利用资源数量排名相较有一定的好转;贵州、浙江等省市的被利用资源数量排名近几月相较有一定的好转,但仍普遍排在前列;江苏、北京、广东、陕西、湖南、山西、山东、河北、河南等省市的被利用资源数量排名情况相较无好转、或存在一定恶化。
图 25 近半年境内本地伪造流量来源路由器归属省份排名情况变化趋势 阅读原文,请访问:http://www.cert.org.cn/publish/main/upload/File/DDoS201806.pdf |
解决 Wn10无法连接 蓝牙耳
Python之Selenium知识总结
2万字带你了解Selenium全攻
解决网站网页不能复制,不
我对ddos攻击的见解以及ufo
