1、 2017 年我国 DDoS 攻击资源分析报告 国家计算机网络应急技术处理协调中心 2017 年 12 月 2017 年我国 DDoS 攻击资源分析报告 2 / 19 目 录 一、引 言. 3 二、DDoS 攻击资源分析 . 4 （一）控制端资源分析. 4 （二）肉鸡资源分析. 7 （三）反射攻击资源分析. 10 1反射服务器资源 . 10 2反射攻击流量来源路由器 . 13 （四）发起伪造流量的路由器分析. 14 1. 跨域伪造流量来源路由器 . 14 2. 本地伪造流量来源路由器 . 17 2017 年我国 DDoS 攻击资源分析报告 3 / 19 一、引 言 近期，CNCERT 深度分析

2、了我国大陆地区发生的数千起DDoS（分布式拒绝服务）攻击事件。本报告围绕互联网环境威胁治枞问题，对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、 控制端资源， 指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源， 指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务， 不需要进行认证并且具有放大效果， 又在互联网上大量部署（如 DNS 服务器，NTP 服务器等） ，它们就可能成为被

3、利用发起 DDoS 攻击的网络资源。 4、 反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP 地址，因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。 由于反射攻击形式特殊，本报告将反射攻击流量来源路由器单独统计。 5、 跨域伪造流量来源路由器， 是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证， 因此跨域伪造流量的存在， 说明该路由器或其下2017 年我国 DDoS 攻击资源分析报告 4 / 19 路由器的源地址验证配置可能存在缺陷。 且该路由器下的网络中存在发动 D

4、DoS 攻击的设备。 6、 本地伪造流量来源路由器， 是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中， 一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击， 但间隔为 24 小时或更多， 则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地枞位置由它的 IP 地址定位得到。 二、DDoS 攻击资源分析 （一）控制端资源分析 根据 CNCERT 监测数据，今年以来，利用肉鸡

5、发起 DDoS攻击的控制端总量为 25,532 个。发起的攻击次数呈现幂律分布，如图 1 所示。平均每个控制端发起过 7.7 次攻击。 图 1 控制端利用肉鸡发起位于境外的控制端按国家或地区分布占 10.1%；其次是韩国和中国台湾图 2 发起 DDoS位于境内的控制端12.2%；其次是江苏2017 年我国 DDoS 攻击资源分析报告 5 / 19 控制端利用肉鸡发起 DDoS 攻击的事件次数呈幂律分布位于境外的控制端按国家或地区分布， 美国占的比例最大韩国和中国台湾，如图 2 所示。DDoS 攻击的境外控制端数量按国家或地区 TOP30控制端按省份统计， 广东省占的比例最大江苏省、四川省和浙江

6、省，如图 3 所示 攻击的事件次数呈幂律分布 占的比例最大，。 TOP30 占的比例最大， 占所示。 图 3 发起控制端发起攻击的天次总体呈现幂律分布平均每个控制端在制端在 119 天范围内发起图 4 控制端尝试发起制端在今年的 1.19在至少连续 7 个月次2017 年我国 DDoS 攻击资源分析报告 6 / 19 发起 DDoS 攻击的境内控制端数量按省份分布 攻击的天次总体呈现幂律分布，如图1.51 天被尝试发起了 DDoS 攻击天范围内发起了攻击，占总监测天数的 4 控制端尝试发起攻击天次呈现幂律分布 控制端尝试发起攻击的月次情况如表 1 所示。个月发起了 DDoS 攻击， 有 3 个

7、控制端个月次持续发起攻击。 如图 4 所示。攻击， 最多的控占总监测天数的五分之二。 平均每个控个控制端地址2017 年我国 DDoS 攻击资源分析报告 7 / 19 表 1 控制端发起攻击月次情况 月次 控制端数量 7 3 6 18 5 169 4 333 3 539 2 2013 1 22456 （二）肉鸡资源分析 根据 CNCERT 监测数据，利用真实肉鸡地址直接攻击（包含直接攻击与其它攻击的混合攻击）的 DDoS 攻击事件占事件总量的 80%。其中，共有 751,341 个真实肉鸡地址参与攻击，涉及 193,723 个 IP 地址 C 段。肉鸡地址参与攻击的次数总体呈现幂律分布，如图

8、5 所示，平均每个肉鸡地址参与 2.13 次攻击。 图 5 肉鸡地址参与攻击次数呈现幂律分布 参与攻击最多的肉鸡地址为归属于山西省运城市闻喜县 联通的某地址， 共参与了陵市铜官区联通的某贵州省贵阳市云岩区联通这些肉鸡按境内其次是山西省、 重庆市电信占的比例最大，如图 7 所示。 2017 年我国 DDoS 攻击资源分析报告 8 / 19 参与了 690 次攻击。 其次是归属于某地址， 共参与了 482 次攻击；贵州省贵阳市云岩区联通的某地址，共参与了 479境内省份统计，北京占的比例最大重庆市和浙江省， 如图 6 所示。 按运营商统计， 占 49.3%， 移动占 23.4%， 联通占图 6 肉

9、鸡地址数量按省份分布 图 7 肉鸡地址数量按运营商分布 其次是归属于安徽省铜以及归属于479 次攻击。 占的比例最大，占 9%；按运营商统计，联通占 21.8%， 2017 年我国 DDoS 攻击资源分析报告 9 / 19 肉鸡资源参与攻击的天次总体呈现幂律分布， 如图 8 所示。平均每个肉鸡资源在 1.51 天被利用发起了 DDoS 攻击， 最多的肉鸡资源在 145 天范围内被利用发起攻击， 占总监测天数的五分之三。 图 8 肉鸡参与攻击天次呈现幂律分布 肉鸡资源参与攻击的月次总体情况如表 2 所示。 平均每个肉鸡资源在今年的 1.11 个月被利用发起了 DDoS 攻击，有 271个肉鸡地址

10、在连续 8 个月次被利用发起攻击， 也就是说， 这些肉鸡资源在监测月份中每个月都被利用以发起 DDoS 攻击，没有得到有效的清理处置。 表 2 肉鸡参与攻击月次情况 参与攻击月次 肉鸡数量 8 271 7 295 6 759 5 1488 4 2916 3 9434 2 44530 1 691648 2017 年我国 DDoS 攻击资源分析报告 10 / 19 （三）反射攻击资源分析 1反射服务器资源 根据 CNCERT 监测数据，利用反射服务器发起的反射攻击的 DDoS 攻击事件占事件总量的 25%，其中，共涉及 251,828台反射服务器， 反射服务器被利用以攻击的次数呈现幂律分布，如图

11、9 所示，平均每台反射服务器参与 1.76 次攻击。 图 9 反射服务器被利用攻击次数呈现幂律分布 被利用最多发起反射放大攻击的服务器归属于新疆伊犁哈萨克自治州伊宁市移动，共参与了 148 次攻击。其次，是归属于新疆昌吉回族自治州阜康市移动的某地址，共参与了 123次攻击；以及归属于新疆阿勒泰地区阿勒泰市联通的某地址，共参与了 119 次攻击。 反射服务器被利用发起攻击的天次总体呈现幂律分布， 如图 10 所示。 平均每个反射服务器在 1.38 天被利用发起了 DDoS攻击，最多的反射服务器在 65 天范围内被利用发起攻击，近占监测总天数的三分之一。 2017 年我国 DDoS 攻击资源分析报

12、告 11 / 19 图 10 反射服务器参与攻击天次呈现幂律分布 反射服务器被利用发起攻击的月次情况如表 3 所示。 平均每个反射服务器在今年的 1.1 个月被利用发起了 DDoS 攻击，有 101 个反射服务器在 8 个月次连续被利用发起攻击， 也就是说，这些反射器在监测月份中每个月都被利用以发起 DDoS 攻击. 表 3 反射服务器参与攻击月次情况 参与攻击月次 反射服务器数量 8 101 7 196 6 345 5 586 4 1169 3 2454 2 11462 1 235515 反射攻击所利用的服务端口根据反射服务器数量统计、 以及按发起反射攻击事件数量统计，被利用最多的均为 19

13、00 端口。 被利用发起攻击的反射服务器中， 93.8%曾通过 1900 号端口发起反射放大攻击， 占反射攻击事件总量的 75.6%。 如图 11 所示。 图 11 反射攻击利用端口根据服务器数量及事件数量统计根据反射服务器18.7%；其次是山东营商统计，联通占的比例最大占比 23.2%，如图 132017 年我国 DDoS 攻击资源分析报告 12 / 19 反射攻击利用端口根据服务器数量及事件数量统计 反射服务器数量按省份统计， 新疆占的比例最大其次是山东省、辽宁省和内蒙古，如图 12占的比例最大，占 47%，电信占比13 所示。 图 12 反射服务器数量按省份分布 占的比例最大， 占所示。

14、按运电信占比 27%，移动 图2反射攻击流量来源路由器境内反射攻击流量击事件的数量统计，最多，为 227 件，其次是归属于路由器，如图 14 所示图 14 发起反射放大攻击事件的流量来源路由器按事件根据发起反射攻击事件2017 年我国 DDoS 攻击资源分析报告 13 / 19 图 13 反射服务器数量按运营商分布 射攻击流量来源路由器 流量主要来源于 412 个路由器， 归属于国际口的某路由器发起的攻击事件其次是归属于河北省、北京市、所示。 发起反射放大攻击事件的流量来源路由器按事件 TOP25根据发起反射攻击事件的来源路由器数量按省份统计， 根据参与攻路由器发起的攻击事件、以及天津的 TO

15、P25 省份统计， 北 京市占的比例最大，省，如图 15 所示。联通占的比例最大，如图 16 所示。 图 15 图 16 反射攻击流量来源（四）发起伪造流量的路由器1. 跨域伪造流量根据 CNCERT 监测2017 年我国 DDoS 攻击资源分析报告 14 / 19 ，占 10.2%；其次是山东省、广东省。按发起反射攻击事件的来源运营商统计， 占 45.1%， 电信占比 36.4%， 移动占比 15 反射攻击流量来源路由器数量按省分布 反射攻击流量来源路由器数量按运营商分布 发起伪造流量的路由器分析 跨域伪造流量来源路由器 监测数据，包含跨域伪造流量的广东省和辽宁运营商统计，移动占比 18.5

16、%， 包含跨域伪造流量的 DDoS 攻击 事件占事件总量的来源于 379 个路由器吉林省联通的路由器参与的攻击事件数量最多件，其次是归属于安徽省电信的路由器图 17 跨域伪造流量来源路由器按参与事件数量发起跨域伪造流量的路由器参与发起攻击的天次总体呈现幂律分布，如图发起跨域伪造地址流量攻击发现发起跨域攻击流量2017 年我国 DDoS 攻击资源分析报告 15 / 19 49.8%，通过跨域伪造流量发起攻击的流量个路由器。 根据参与攻击事件的数量统计的路由器参与的攻击事件数量最多，均参与了安徽省电信的路由器，如图 17 所示跨域伪造流量来源路由器按参与事件数量 TOP25 发起跨域伪造流量的路由

17、器参与发起攻击的天次总体呈18 所示。平均每个路由器在 15.5发起跨域伪造地址流量攻击， 最多的路由器在 105 天范围内被发现发起跨域攻击流量，近占监测总天数的二分之一通过跨域伪造流量发起攻击的流量根据参与攻击事件的数量统计， 归属于均参与了 326所示。 发起跨域伪造流量的路由器参与发起攻击的天次总体呈15.5 天被发现天范围内被近占监测总天数的二分之一。 2017 年我国 DDoS 攻击资源分析报告 16 / 19 图 18 跨域伪造流量来源路由器参与攻击天次呈现幂律分布 发起跨域伪造流量的路由器参与发起攻击的月次情况如表 4 所示。平均每个路由器在 2.7 个月次被发现发起跨域伪造地

18、址流量攻击，14 个路由器在连续 8 个月内被发现发起跨域攻击流量， 也就是说， 这些路由器长期多次地被利用发起跨域伪造流量攻击。 表 4 跨域伪造流量来源路由器参与攻击月次情况 参与攻击月次 跨域伪造流量来源路由器数量 8 14 7 16 6 18 5 24 4 37 3 42 2 71 1 156 跨区域伪造流量涉及路由器按省份分布统计如图 19 所示，其中，北京市占的比例最大，占 13.2%；其次是江苏省、山东省、 及广东省。 按路由器所属运营商统计， 联通占的比例最大，占 46.7%，电信占比 30.6%，移动占比 22.7%，如图 20 所示。 图 19 图 20 跨域伪造流量来源路

19、由器数量按运营商分布2. 本地伪造流量根据 CNCERT 监测数据事件占事件总量的来源于 725 个路由器安徽省电信的路由器参与的攻击事件数量最多424 件，其次是归属于2017 年我国 DDoS 攻击资源分析报告 17 / 19 19 跨域伪造流量来源路由器数量按省分布 跨域伪造流量来源路由器数量按运营商分布 本地伪造流量来源路由器 监测数据，包含本地伪造流量的51.3%，通过本地伪造流量发起攻击的流量个路由器。 根据参与攻击事件的数量统计的路由器参与的攻击事件数量最多，最多参与了其次是归属于陕西省电信的路由器，如图 包含本地伪造流量的 DDoS 攻击伪造流量发起攻击的流量根据参与攻击事件的

20、数量统计， 归属于最多参与了如图 21 所示。 图 21 本地发起本地伪造流量的路由器参与发起攻击的天次总体呈现幂律分布，如图发起跨域伪造地址流量攻击发现发起跨域攻击流量图 22 本地伪造流量来源路由器参与攻击天次呈现幂律分布发起本地伪造流量的路由器参与发起攻击的月次总体况如表 5 所示。平均每个路由器在伪造地址流量攻击，2017 年我国 DDoS 攻击资源分析报告 18 / 19 本地伪造流量来源路由器按参与事件数量 TOP25 伪造流量的路由器参与发起攻击的天次总体呈22 所示。平均每个路由器在 18.3发起跨域伪造地址流量攻击， 最多的路由器在 123 天范围内被发现发起跨域攻击流量，占

21、监测总天数的二分之一 伪造流量来源路由器参与攻击天次呈现幂律分布伪造流量的路由器参与发起攻击的月次总体平均每个路由器在 3.1 个月次被发，26 个路由器在连续 8 个月内被发现发起 伪造流量的路由器参与发起攻击的天次总体呈18.3 天被发现天范围内被占监测总天数的二分之一。 伪造流量来源路由器参与攻击天次呈现幂律分布 伪造流量的路由器参与发起攻击的月次总体情现发起本地个月内被发现发起 本地攻击流量， 也就是说本地伪造流量攻击，表 5 本地伪造流量来源路由器参与攻击月次情况参与攻击月次87654321本地伪造流量涉及路由器按省份分布统计其中，江苏省占的比例最大省、 及广东省。 按路由器所属运营

22、商统计占 54.2%，如图 24图 23 本地伪造流量来源路由器数量按省分布 2017 年我国 DDoS 攻击资源分析报告 19 / 19 也就是说， 这些路由器长期多次地被利用发起，主要集中在湖北省及江西省。本地伪造流量来源路由器参与攻击月次情况参与攻击月次 本地伪造流量来源路由器数量 8 26 7 41 6 58 5 49 4 89 3 107 2 127 1 228 伪造流量涉及路由器按省份分布统计如图占的比例最大，占 8.7%；其次是北京市按路由器所属运营商统计， 电信占的比例最大所示。 伪造流量来源路由器数量按省分布 图 24 本地伪造流量来源路由器数量按运营商分布这些路由器长期多次地被利用发起。 本地伪造流量来源路由器参与攻击月次情况 如图 23 所示。北京市、河南占的比例最大，伪造流量来源路由器数量按运营商分布