更多全球網路安全資訊盡在E安全官網www.easyaq.com
E安全12月
一、引言
近期, CNCERT深度分析了我國大陸地區發生的數千起DDoS(分散式拒絕服務)攻擊事件。
1、控制端資源, 指用來控制大量的僵屍主機節點向攻擊目標發起DDoS攻擊的木馬或僵屍網路控制端。
2、肉雞資源, 指被控制端利用, 向攻擊目標發起DDoS攻擊的僵屍主機節點。
3、反射伺服器資源, 指能夠被駭客利用發起反射攻擊的伺服器、主機等設施, 它們提供的網路服務中, 如果存在某些網路服務, 不需要進行認證並且具有放大效果, 又在互聯網上大量部署(如DNS伺服器, NTP伺服器等), 它們就可能成為被利用發起DDoS攻擊的網路資源。
4、反射攻擊流量來源路由器是指轉發了大量反射攻擊發起流量的運營商路由器。
5、跨域偽造流量來源路由器, 是指轉發了大量任意偽造IP攻擊流量的路由器。 由於我國要求運營商在接入網上進行源位址驗證, 因此跨域偽造流量的存在, 說明該路由器或其下路由器的源位址驗證配置可能存在缺陷。 且該路由器下的網路中存在發動DDoS攻擊的設備。
6、本地偽造流量來源路由器, 是指轉發了大量偽造本區域IP攻擊流量的路由器。 說明該路由器下的網路中存在發動DDoS攻擊的設備。
在本報告中,
二、DDOS攻擊資源分析
(一)控制端資源分析
根據CNCERT監測資料, 今年以來, 利用肉雞發起DDoS攻擊的控制端總量為25,532個。 發起的攻擊次數呈現冪律分佈, 如圖1所示。 平均每個控制端發起過7.7次攻擊。
圖1 控制端利用肉雞發起DDoS攻擊的事件次數呈冪律分佈
位於境外的控制端按國家或地區分佈, 美國占的比例最大, 占10.1%;其次是韓國和中國臺灣, 如圖2所示。
圖2 發起DDoS攻擊的境外控制端數量按國家或地區TOP30
位於境內的控制端按省份統計, 廣東省占的比例最大, 占12.2%;其次是江蘇省、四川省和浙江省, 如圖3所示。
圖3發起DDoS攻擊的境內控制端數量按省份分佈
控制端發起攻擊的天次總體呈現冪律分佈,如圖4所示。平均每個控制端在1.51天被嘗試發起了DDoS攻擊,最多的控制端在119天範圍內發起了攻擊,占總監測天數的五分之二。
圖4 控制端嘗試發起攻擊天次呈現冪律分佈
控制端嘗試發起攻擊的月次情況如表1所示。平均每個控制端在今年的1.19個月發起了DDoS攻擊,有3個控制端位址在至少連續7個月次持續發起攻擊。
表1 控制端發起攻擊月次情況
月次控制端數量7361851694333353922013122456(二)肉雞資源分析
根據CNCERT監測資料,利用真實肉雞位址直接攻擊(包含直接攻擊與其它攻擊的混合攻擊)的DDoS攻擊事件占事件總量的80%。其中,共有751,341個真實肉雞位址參與攻擊,涉及193,723個IP地址C段。肉雞位址參與攻擊的次數總體呈現冪律分佈,如圖5所示,平均每個肉雞位址參與2.13次攻擊。
圖5 肉雞地址參與攻擊次數呈現冪律分佈
參與攻擊最多的肉雞地址為歸屬於山西省運城市聞喜縣聯通的某地址,共參與了690次攻擊。其次是歸屬於安徽省銅陵市銅官區聯通的某地址,共參與了482次攻擊;以及歸屬于貴州省貴陽市雲岩區聯通的某地址,共參與了479次攻擊。
這些肉雞按境內省份統計,北京占的比例最大,占9%;其次是山西省、重慶市和浙江省,如圖6所示。按運營商統計,電信占的比例最大,占49.3%,移動占23.4%,聯通占21.8%,如圖7所示。
圖6 肉雞地址數量按省份分佈
圖7 肉雞地址數量按運營商分佈
肉雞資源參與攻擊的天次總體呈現冪律分佈,如圖8所示。平均每個肉雞資源在1.51天被利用發起了DDoS攻擊,最多的肉雞資源在145天範圍內被利用發起攻擊,占總監測天數的五分之三。
圖8 肉雞參與攻擊天次呈現冪律分佈
肉雞資源參與攻擊的月次總體情況如表2所示。平均每個肉雞資源在今年的1.11個月被利用發起了DDoS攻擊,有271個肉雞位址在連續8個月次被利用發起攻擊,也就是說,這些肉雞資源在監測月份中每個月都被利用以發起DDoS攻擊,沒有得到有效的清理處置。
表2肉雞參與攻擊月次情況
參與攻擊月次肉雞數量8271729567595148842916394342445301691648(三)反射攻擊資源分析
1.反射伺服器資源
根據CNCERT監測資料,利用反射伺服器發起的反射攻擊的DDoS攻擊事件占事件總量的25%,其中,共涉及251,828台反射伺服器,反射伺服器被利用以攻擊的次數呈現冪律分佈,如圖9所示,平均每台反射伺服器參與1.76次攻擊。
圖9 反射伺服器被利用攻擊次數呈現冪律分佈
被利用最多發起反射放大攻擊的伺服器歸屬于新疆伊犁哈薩克自治州伊寧市移動,共參與了148次攻擊。其次,是歸屬于新疆昌吉回族自治州阜康市移動的某地址,共參與了123次攻擊;以及歸屬于新疆阿勒泰地區阿勒泰市聯通的某位址,共參與了119次攻擊。
反射伺服器被利用發起攻擊的天次總體呈現冪律分佈,如圖10所示。平均每個反射伺服器在1.38天被利用發起了DDoS攻擊,最多的反射伺服器在65天範圍內被利用發起攻擊,近占監測總天數的三分之一。
圖10 反射伺服器參與攻擊天次呈現冪律分佈
反射伺服器被利用發起攻擊的月次情況如表3所示。平均每個反射伺服器在今年的1.1個月被利用發起了DDoS攻擊,有101個反射伺服器在8個月次連續被利用發起攻擊,也就是說,這些反射器在監測月份中每個月都被利用以發起DDoS攻擊。
表3 反射伺服器參與攻擊月次情況
參與攻擊月次反射伺服器數量810171966345558641169324542114621235515反射攻擊所利用的服務埠根據反射伺服器數量統計、以及按發起反射攻擊事件數量統計,被利用最多的均為1900埠。被利用發起攻擊的反射伺服器中,93.8%曾通過1900號埠發起反射放大攻擊,占反射攻擊事件總量的75.6%。如圖11所示。
圖11反射攻擊利用埠根據伺服器數量及事件數量統計
根據反射伺服器數量按省份統計,新疆占的比例最大,占18.7%;其次是山東省、遼寧省和內蒙古,如圖12所示。按運營商統計,聯通占的比例最大,占47%,電信占比27%,移動占比23.2%,如圖13所示。
圖12 反射伺服器數量按省份分佈
圖13 反射伺服器數量按運營商分佈
2.反射攻擊流量來源路由器
境內反射攻擊流量主要來源於412個路由器,根據參與攻擊事件的數量統計,歸屬於國際口的某路由器發起的攻擊事件最多,為227件,其次是歸屬於河北省、北京市、以及天津的路由器,如圖14所示。
圖14 發起反射放大攻擊事件的流量來源路由器按事件TOP25
根據發起反射攻擊事件的來源路由器數量按省份統計,北京市占的比例最大,占10.2%;其次是山東省、廣東省和遼寧省,如圖15所示。按發起反射攻擊事件的來源運營商統計,聯通占的比例最大,占45.1%,電信占比36.4%,移動占比18.5%,如圖16所示。
圖15 反射攻擊流量來源路由器數量按省分佈
圖16 反射攻擊流量來源路由器數量按運營商分佈
(四)發起偽造流量的路由器分
1.跨域偽造流量來源路由器
根據CNCERT監測資料,包含跨域偽造流量的DDoS攻擊事件占事件總量的49.8%,通過跨域偽造流量發起攻擊的流量來源於379個路由器。根據參與攻擊事件的數量統計,歸屬於吉林省聯通的路由器參與的攻擊事件數量最多,均參與了326件,其次是歸屬於安徽省電信的路由器,如圖17所示。
圖17 跨域偽造流量來源路由器按參與事件數量TOP25
發起跨域偽造流量的路由器參與發起攻擊的天次總體呈現冪律分佈,如圖18所示。平均每個路由器在15.5天被發現發起跨域偽造地址流量攻擊,最多的路由器在105天範圍內被發現發起跨域攻擊流量,近占監測總天數的二分之一。
圖18 跨域偽造流量來源路由器參與攻擊天次呈現冪律分佈
發起跨域偽造流量的路由器參與發起攻擊的月次情況如表4所示。平均每個路由器在2.7個月次被發現發起跨域偽造地址流量攻擊,14個路由器在連續8個月內被發現發起跨域攻擊流量,也就是說,這些路由器長期多次地被利用發起跨域偽造流量攻擊。
表4跨域偽造流量來源路由器參與攻擊月次情況
參與攻擊月次跨域偽造流量來源路由器數量8147166185244373422711156跨區域偽造流量涉及路由器按省份分佈統計如圖19所示,其中,北京市占的比例最大,占13.2%;其次是江蘇省、山東省、及廣東省。按路由器所屬運營商統計,聯通占的比例最大,占46.7%,電信占比30.6%,移動占比22.7%,如圖20所示。
圖19 跨域偽造流量來源路由器數量按省分佈
圖20 跨域偽造流量來源路由器數量按運營商分佈
2.本地偽造流量來源路由器
根據CNCERT監測資料,包含本地偽造流量的DDoS攻擊事件占事件總量的51.3%,通過本地偽造流量發起攻擊的流量來源於725個路由器。根據參與攻擊事件的數量統計,歸屬於安徽省電信的路由器參與的攻擊事件數量最多,最多參與了424件,其次是歸屬於陝西省電信的路由器,如圖21所示。
圖21 本地偽造流量來源路由器按參與事件數量TOP25
發起本地偽造流量的路由器參與發起攻擊的天次總體呈現冪律分佈,如圖22所示。平均每個路由器在18.3天被發現發起跨域偽造地址流量攻擊,最多的路由器在123天範圍內被發現發起跨域攻擊流量,占監測總天數的二分之一。
圖22 本地偽造流量來源路由器參與攻擊天次呈現冪律分佈
發起本地偽造流量的路由器參與發起攻擊的月次總體情況如表5所示。平均每個路由器在3.1個月次被發現發起本地偽造地址流量攻擊,26個路由器在連續8個月內被發現發起本機攻擊流量,也就是說,這些路由器長期多次地被利用發起本地偽造流量攻擊,主要集中在湖北省及江西省。
表5本地偽造流量來源路由器參與攻擊月次情況
參與攻擊月次本地偽造流量來源路由器數量826741658549489310721271228本地偽造流量涉及路由器按省份分佈統計如圖23所示。其中,江蘇省占的比例最大,占8.7%;其次是北京市、河南省、及廣東省。按路由器所屬運營商統計,電信占的比例最大,占54.2%,如圖24所示。
圖23本地偽造流量來源路由器數量按省分佈
圖24本地偽造流量來源路由器數量按運營商分佈
圖3發起DDoS攻擊的境內控制端數量按省份分佈
控制端發起攻擊的天次總體呈現冪律分佈,如圖4所示。平均每個控制端在1.51天被嘗試發起了DDoS攻擊,最多的控制端在119天範圍內發起了攻擊,占總監測天數的五分之二。
圖4 控制端嘗試發起攻擊天次呈現冪律分佈
控制端嘗試發起攻擊的月次情況如表1所示。平均每個控制端在今年的1.19個月發起了DDoS攻擊,有3個控制端位址在至少連續7個月次持續發起攻擊。
表1 控制端發起攻擊月次情況
月次控制端數量7361851694333353922013122456(二)肉雞資源分析
根據CNCERT監測資料,利用真實肉雞位址直接攻擊(包含直接攻擊與其它攻擊的混合攻擊)的DDoS攻擊事件占事件總量的80%。其中,共有751,341個真實肉雞位址參與攻擊,涉及193,723個IP地址C段。肉雞位址參與攻擊的次數總體呈現冪律分佈,如圖5所示,平均每個肉雞位址參與2.13次攻擊。
圖5 肉雞地址參與攻擊次數呈現冪律分佈
參與攻擊最多的肉雞地址為歸屬於山西省運城市聞喜縣聯通的某地址,共參與了690次攻擊。其次是歸屬於安徽省銅陵市銅官區聯通的某地址,共參與了482次攻擊;以及歸屬于貴州省貴陽市雲岩區聯通的某地址,共參與了479次攻擊。
這些肉雞按境內省份統計,北京占的比例最大,占9%;其次是山西省、重慶市和浙江省,如圖6所示。按運營商統計,電信占的比例最大,占49.3%,移動占23.4%,聯通占21.8%,如圖7所示。
圖6 肉雞地址數量按省份分佈
圖7 肉雞地址數量按運營商分佈
肉雞資源參與攻擊的天次總體呈現冪律分佈,如圖8所示。平均每個肉雞資源在1.51天被利用發起了DDoS攻擊,最多的肉雞資源在145天範圍內被利用發起攻擊,占總監測天數的五分之三。
圖8 肉雞參與攻擊天次呈現冪律分佈
肉雞資源參與攻擊的月次總體情況如表2所示。平均每個肉雞資源在今年的1.11個月被利用發起了DDoS攻擊,有271個肉雞位址在連續8個月次被利用發起攻擊,也就是說,這些肉雞資源在監測月份中每個月都被利用以發起DDoS攻擊,沒有得到有效的清理處置。
表2肉雞參與攻擊月次情況
參與攻擊月次肉雞數量8271729567595148842916394342445301691648(三)反射攻擊資源分析
1.反射伺服器資源
根據CNCERT監測資料,利用反射伺服器發起的反射攻擊的DDoS攻擊事件占事件總量的25%,其中,共涉及251,828台反射伺服器,反射伺服器被利用以攻擊的次數呈現冪律分佈,如圖9所示,平均每台反射伺服器參與1.76次攻擊。
圖9 反射伺服器被利用攻擊次數呈現冪律分佈
被利用最多發起反射放大攻擊的伺服器歸屬于新疆伊犁哈薩克自治州伊寧市移動,共參與了148次攻擊。其次,是歸屬于新疆昌吉回族自治州阜康市移動的某地址,共參與了123次攻擊;以及歸屬于新疆阿勒泰地區阿勒泰市聯通的某位址,共參與了119次攻擊。
反射伺服器被利用發起攻擊的天次總體呈現冪律分佈,如圖10所示。平均每個反射伺服器在1.38天被利用發起了DDoS攻擊,最多的反射伺服器在65天範圍內被利用發起攻擊,近占監測總天數的三分之一。
圖10 反射伺服器參與攻擊天次呈現冪律分佈
反射伺服器被利用發起攻擊的月次情況如表3所示。平均每個反射伺服器在今年的1.1個月被利用發起了DDoS攻擊,有101個反射伺服器在8個月次連續被利用發起攻擊,也就是說,這些反射器在監測月份中每個月都被利用以發起DDoS攻擊。
表3 反射伺服器參與攻擊月次情況
參與攻擊月次反射伺服器數量810171966345558641169324542114621235515反射攻擊所利用的服務埠根據反射伺服器數量統計、以及按發起反射攻擊事件數量統計,被利用最多的均為1900埠。被利用發起攻擊的反射伺服器中,93.8%曾通過1900號埠發起反射放大攻擊,占反射攻擊事件總量的75.6%。如圖11所示。
圖11反射攻擊利用埠根據伺服器數量及事件數量統計
根據反射伺服器數量按省份統計,新疆占的比例最大,占18.7%;其次是山東省、遼寧省和內蒙古,如圖12所示。按運營商統計,聯通占的比例最大,占47%,電信占比27%,移動占比23.2%,如圖13所示。
圖12 反射伺服器數量按省份分佈
圖13 反射伺服器數量按運營商分佈
2.反射攻擊流量來源路由器
境內反射攻擊流量主要來源於412個路由器,根據參與攻擊事件的數量統計,歸屬於國際口的某路由器發起的攻擊事件最多,為227件,其次是歸屬於河北省、北京市、以及天津的路由器,如圖14所示。
圖14 發起反射放大攻擊事件的流量來源路由器按事件TOP25
根據發起反射攻擊事件的來源路由器數量按省份統計,北京市占的比例最大,占10.2%;其次是山東省、廣東省和遼寧省,如圖15所示。按發起反射攻擊事件的來源運營商統計,聯通占的比例最大,占45.1%,電信占比36.4%,移動占比18.5%,如圖16所示。
圖15 反射攻擊流量來源路由器數量按省分佈
圖16 反射攻擊流量來源路由器數量按運營商分佈
(四)發起偽造流量的路由器分
1.跨域偽造流量來源路由器
根據CNCERT監測資料,包含跨域偽造流量的DDoS攻擊事件占事件總量的49.8%,通過跨域偽造流量發起攻擊的流量來源於379個路由器。根據參與攻擊事件的數量統計,歸屬於吉林省聯通的路由器參與的攻擊事件數量最多,均參與了326件,其次是歸屬於安徽省電信的路由器,如圖17所示。
圖17 跨域偽造流量來源路由器按參與事件數量TOP25
發起跨域偽造流量的路由器參與發起攻擊的天次總體呈現冪律分佈,如圖18所示。平均每個路由器在15.5天被發現發起跨域偽造地址流量攻擊,最多的路由器在105天範圍內被發現發起跨域攻擊流量,近占監測總天數的二分之一。
圖18 跨域偽造流量來源路由器參與攻擊天次呈現冪律分佈
發起跨域偽造流量的路由器參與發起攻擊的月次情況如表4所示。平均每個路由器在2.7個月次被發現發起跨域偽造地址流量攻擊,14個路由器在連續8個月內被發現發起跨域攻擊流量,也就是說,這些路由器長期多次地被利用發起跨域偽造流量攻擊。
表4跨域偽造流量來源路由器參與攻擊月次情況
參與攻擊月次跨域偽造流量來源路由器數量8147166185244373422711156跨區域偽造流量涉及路由器按省份分佈統計如圖19所示,其中,北京市占的比例最大,占13.2%;其次是江蘇省、山東省、及廣東省。按路由器所屬運營商統計,聯通占的比例最大,占46.7%,電信占比30.6%,移動占比22.7%,如圖20所示。
圖19 跨域偽造流量來源路由器數量按省分佈
圖20 跨域偽造流量來源路由器數量按運營商分佈
2.本地偽造流量來源路由器
根據CNCERT監測資料,包含本地偽造流量的DDoS攻擊事件占事件總量的51.3%,通過本地偽造流量發起攻擊的流量來源於725個路由器。根據參與攻擊事件的數量統計,歸屬於安徽省電信的路由器參與的攻擊事件數量最多,最多參與了424件,其次是歸屬於陝西省電信的路由器,如圖21所示。
圖21 本地偽造流量來源路由器按參與事件數量TOP25
發起本地偽造流量的路由器參與發起攻擊的天次總體呈現冪律分佈,如圖22所示。平均每個路由器在18.3天被發現發起跨域偽造地址流量攻擊,最多的路由器在123天範圍內被發現發起跨域攻擊流量,占監測總天數的二分之一。
圖22 本地偽造流量來源路由器參與攻擊天次呈現冪律分佈
發起本地偽造流量的路由器參與發起攻擊的月次總體情況如表5所示。平均每個路由器在3.1個月次被發現發起本地偽造地址流量攻擊,26個路由器在連續8個月內被發現發起本機攻擊流量,也就是說,這些路由器長期多次地被利用發起本地偽造流量攻擊,主要集中在湖北省及江西省。
表5本地偽造流量來源路由器參與攻擊月次情況
參與攻擊月次本地偽造流量來源路由器數量826741658549489310721271228本地偽造流量涉及路由器按省份分佈統計如圖23所示。其中,江蘇省占的比例最大,占8.7%;其次是北京市、河南省、及廣東省。按路由器所屬運營商統計,電信占的比例最大,占54.2%,如圖24所示。
圖23本地偽造流量來源路由器數量按省分佈
圖24本地偽造流量來源路由器數量按運營商分佈