1、 2018 年我国 DDoS 攻击资源分析报告 国家计算机网络应急技术处理协调中心 2019 年 3 月 CNCERT 2018 年我国 DDoS 攻击资源分析报告 2/ 35 目 录 一、引言 . 3 （一）攻击资源定义 . 3 （二）2018 年重点关注情况 . 4 二、全年 DDoS 攻击资源分析 . 6 （一）控制端资源分析. 6 （二）肉鸡资源分析 . 8 （三）反射攻击资源分析 . 9 （四）发起伪造流量的路由器分析 . 17 1.跨域伪造流量来源路由器. 17 2.本地伪造流量来源路由器. 18 三、我国境内攻击资源年度活跃及治理情况分析 . 20 （一）我国境内攻击资源年度活跃

2、趋势 . 21 1、控制端资源 . 21 2、肉鸡资源 . 21 3、反射服务器资源 . 23 4、跨域伪造流量来源路由器资源 . 27 5、本地伪造流量来源路由器资源 . 28 （二）DDoS 攻击资源治理情况及典型案例 . 30 1、控制端资源 . 30 2、反射服务器资源 . 31 3、伪造流量来源路由器资源 . 32 四、下一步 DDoS 攻击资源治理建议 . 33 CNCERT 2018 年我国 DDoS 攻击资源分析报告 3/ 35 一、引言 （一）攻击资源定义 本报告为 2018 年的 DDoS 攻击资源年度分析报告。 围绕互联网环境威胁治理问题， 基于 CNCERT 监测的 D

3、DoS 攻击事件数据进行抽样分析，重点对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、 控制端资源， 指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源， 指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务， 不需要进行认证并且具有放大效果， 又在互联网上大量部署（如 DNS 服务器，NTP 服务器等） ，它们就可能成为被利用发起 DDoS 攻击的网络资源。 4、 跨域伪造流量来

4、源路由器， 是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证， 因此跨域伪造流量的存在， 说明该路由器或其下路由器的源地址验证配臵可能存在缺陷， 且该路由器下的网络中存在发动 DDoS 攻击的设备。 5、 本地伪造流量来源路由器， 是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动CNCERT 2018 年我国 DDoS 攻击资源分析报告 4/ 35 DDoS 攻击的设备。 在本报告中， 一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的

5、攻击目标被相同的攻击资源所攻击， 但间隔为 24 小时或更多， 则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地理位臵由它的 IP 地址定位得到。 （二）2018 年重点关注情况 1、2018 年利用肉鸡发起 DDoS 攻击的控制端中，境外控制端最多位于美国； 境内控制端最多位于江苏省， 其次是浙江省、贵州省和广东省，按归属运营商统计，中国电信占的比例最大。 2、 2018 年参与攻击较多的境内肉鸡地址主要位于江苏省、浙江省和山东省， 其中大量肉鸡地址归属于中国电信。 当前仍旧存活且持续活跃超过六个月的境内肉鸡资源中， 位于广东省、浙江省、山东省的地

6、址占的比例最大。 3、2018 年被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的是广东省、 山东省和河南省；按归属运营商统计，数量最多的是中国电信。被利用发起 NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、河南省和河北省；按归属运营商统计，数量最多的是中国联通。被利用发起 SSDP 反射攻击的境内反射服务器CNCERT 2018 年我国 DDoS 攻击资源分析报告 5/ 35 数量按省份统计排名前三名的省份是辽宁省、 山东省和浙江省；按归属运营商统计，数量最多的是中国联通。 4、2018 年转发伪造跨域攻击流量的路由器中，归属于新疆维吾

7、尔自治区移动的路由器参与的攻击事件数量最多； 跨域伪造流量来源路由器数量按省份统计， 最多位于北京市、 江苏省和广东省。 持续被利用超过三个月的跨域伪造流量来源路由器中，归属于江苏省、北京市和山东省路由器数量最多。 5、2018 年转发伪造本地攻击流量的路由器中，归属于北京市电信的路由器参与的攻击事件数量最多； 本地伪造流量来源路由器数量按省份统计， 最多位于江苏省、 山东省和河南省。持续被利用超过三个月的本地伪造流量来源路由器中， 归属于浙江省、广东省、河南省的路由器数量最多。 6、 经过一年来针对我国境内的攻击资源的专项治理工作，根据根据 CNCERT 自主监测数据自主监测数据，与 201

8、7 年相比，境内控制端、肉鸡等资源的月活跃数量较 2017 年有了较明显的下降趋势；境内控制端、 跨域伪造流量来源路由器、 本地伪造流量来源路由器等资源每月的新增率不变、消亡率呈现一定程度的上升，意味着资源消亡速度加快， 可利用的资源数量逐步减少；境内反射服务器资源每月的消亡率不变、 新增率呈现一定程度的下降， 意味着可新增的资源数量逐步减少。 根据外部根据外部相关相关分析报分析报告告， 我国境内的僵尸网络控制端数量持续减少； 我国境内全年DDoS 攻击次数明显下降，特别是反射攻击较去年减少了 80%。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 6/ 35 二、全年 DDoS

9、 攻击资源分析 （一）控制端资源分析 根据 CNCERT 抽样监测数据，2018 年以来利用肉鸡发起DDoS 攻击的控制端有 2108 个，其中，334 个控制端位于我国境内，1774 个控制端位于境外。 位于境外的控制端按国家或地区分布， 美国占比最大， 占36.3%，其次是中国香港和加拿大，如图 1 所示。 图 1 2018 年以来发起 DDoS 攻击的境外控制端数量按国家或地区分布 位于境内的控制端按省份统计，江苏省占比最大，占27.5%，其次是浙江省、贵州省和广东省；按运营商统计，中国电信占比最大，占 76.9%，中国联通占 9.9%，中国移动占0.9%，如图 2 所示。 CNCERT

10、 2018 年我国 DDoS 攻击资源分析报告 7/ 35 图 2 2018 年以来发起 DDoS 攻击的境内控制端数量按省份和运营商分布 2018 年以来发起攻击最多的境内控制端前二十名及归属如表 1 所示。 表 1 2018 年以来发起攻击最多的境内控制端 TOP20 控制端地址控制端地址 归属省份归属省份 归属运营商归属运营商或云服务商或云服务商 123.X.X.167 山东省 中国联通 183.X.X.78 浙江省 中国电信 222.X.X.122 江苏省 中国电信 118.X.X.216 江西省 中国联通 123.X.X.146 贵州省 中国电信 27.X.X.234 福建省 中国电

11、信 116.X.X.2 广东省 中国电信 222.X.X.232 江苏省 中国电信 219.X.X.226 河南省 中国电信 117.X.X.110 陕西省 中国电信 123.X.X.147 贵州省 中国电信 183.X.X.243 浙江省 中国电信 183.X.X.90 浙江省 中国电信 125.X.X.100 福建省 中国电信 183.X.X.57 广东省 中国电信 58.X.X.158 江苏省 中国电信 61.X.X.154 江苏省 中国电信 119.X.X.162 广东省 中国电信 222.X.X.7 江苏省 中国电信 220.X.X.54 湖南省 中国电信 CNCERT 2018 年

12、我国 DDoS 攻击资源分析报告 8/ 35 （二）肉鸡资源分析 根据 CNCERT 抽样监测数据，2018 年以来共有 1,444,633个肉鸡地址参与真实地址攻击 （包含真实地址攻击与反射攻击等其它攻击的混合攻击） 。 这些肉鸡资源按省份统计，江苏省占比最大，为 14.6%，其次是浙江省、山东省和广东省；按运营商统计，中国电信占比最大，为 61.6%，中国联通占 27.3%，中国移动占 9.4%，如图 3 所示。 图 3 2018 年以来肉鸡地址数量按省份和运营商分布 2018 年以来参与攻击最多的肉鸡地址前三十名及归属如表 2 所示。 表 2 2018 年以来参与攻击最多的肉鸡地址 TO

13、P30 肉鸡地址肉鸡地址 归属省份归属省份 归属运营商归属运营商或云服务商或云服务商 60.X.X.174 新疆维吾尔自治区 中国联通 61.X.X.28 甘肃省 中国电信 61.X.X.66 青海省 中国电信 220.X.X.58 广西壮族自治区 中国电信 118.X.X.186 甘肃省 中国电信 221.X.X.129 内蒙古自治区 中国联通 61.X.X.114 河南省 中国联通 CNCERT 2018 年我国 DDoS 攻击资源分析报告 9/ 35 61.X.X.243 内蒙古自治区 中国联通 222.X.X.186 广西壮族自治区 中国电信 111.X.X.53 吉林省 中国移动 1

14、39.X.X.208 北京市 待确认 202.X.X.202 北京市 中国联通 221.X.X.144 贵州省 中国联通 202.X.X.138 新疆维吾尔自治区 中国电信 42.X.X.155 上海市 中国电信 175.X.X.131 湖南省 中国电信 222.X.X.242 贵州省 中国电信 60.X.X.211 山西省 中国联通 58.X.X.114 湖南省 中国联通 183.X.X.79 浙江省 中国电信 112.X.X.146 安徽省 中国联通 211.X.X.78 上海市 中国联通 27.X.X.250 上海市 中国联通 112.X.X.234 江苏省 中国联通 219.X.X.9

15、7 黑龙江省 中国电信 114.X.X.253 北京市 待确认 60.X.X.30 安徽省 中国电信 42.X.X.56 上海市 中国电信 218.X.X.182 河南省 中国联通 111.X.X.69 河南省 中国移动 （三）反射攻击资源分析 根据 CNCERT 抽样监测数据， 2018 年以来利用反射服务器发起的三类重点反射攻击共涉及 19,708,130 台反射服务器， 其中境内反射服务器 16,549,970 台，境外反射服务器 3,158,160台。 被利用发起 Memcached 反射攻击的反射服务器有 232,282台，占比 1.2%，其中境内 187,247 台，境外 45,0

16、35 台；被利用发起NTP反射攻击的反射服务器有3,200,200台， 占比16.2%，其中境内 2,040,066 台，境外 1,160,134 台；被利用发起 SSDP反射攻击的反射服务器有 16,275,648 台，占比 82.6%，其中境内 14,322,657 台，境外 1,952,991 台。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 10/ 35 （1）Memcached 反射服务器资源 Memcached 反射攻击利用了在互联网上暴露的大批量Memcached 服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向 Memcached 服务器的默认 1

17、1211 端口发送伪造受害者 IP 地址的特定指令 UDP 数据包，使Memcached 服务器向受害者 IP 地址返回比请求数据包大数倍的数据，从而进行反射攻击。 根据 CNCERT 抽样监测数据， 2018年以来利用 Memcached服务器实施反射攻击的事件共涉及境内187,247台反射服务器，境外 45,035 台反射服务器。 2018 年以来境内反射服务器数量按省份统计，广东省占比最大，占 14.1%，其次是山东省、河南省和江苏省；按归属运营商或云服务商统计，中国电信占比最大，占 53.5%，中国移动占 23.8%，中国联通占 13.4%，阿里云占 4.5%，如图 4 所示。 图 4

18、 2018 年以来境内 Memcached 反射服务器数量按省份、运营商或云服务商分布 CNCERT 2018 年我国 DDoS 攻击资源分析报告 11/ 35 2018年以来被利用发起攻击的境外Memcached反射服务器数量按国家或地区统计，美国占比最大，占 25.2%，其次是中国香港、法国和日本，如图 5 所示。 图 5 2018 年以来境外 Memcached 反射服务器数量按国家或地区分布 2018年被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名 TOP30 的反射服务器及归属如表 3 所示，位于北京市的地址最多。 表 3 2018 年以来境内被利用发起

19、 Memcached 反射攻击的反射服务器按涉事件数量 TOP30 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商归属运营商或云服务商或云服务商 106.X.X.51 北京市 中国电信 202.X.X.240 新疆维吾尔自治区 中国电信 123.X.X.195 北京市 阿里云 119.X.X.93 北京市 中国电信 123.X.X.233 北京市 阿里云 123.X.X.30 北京市 阿里云 101.X.X.97 北京市 阿里云 123.X.X.237 北京市 阿里云 101.X.X.178 北京市 阿里云 112.X.X.84 北京市 阿里云 121.X.X.197 北京市 中国

20、联通 116.X.X.10 云南省 中国电信 101.X.X.74 北京市 阿里云 123.X.X.118 北京市 阿里云 182.X.X.228 北京市 阿里云 CNCERT 2018 年我国 DDoS 攻击资源分析报告 12/ 35 223.X.X.13 四川省 中国移动 202.X.X.100 山西省 中国联通 123.X.X.128 北京市 阿里云 119.X.X.156 北京市 中国电信 182.X.X.75 北京市 阿里云 123.X.X.216 北京市 阿里云 101.X.X.68 北京市 阿里云 113.X.X.112 广东省 中国电信 182.X.X.145 北京市 阿里云

21、182.X.X.145 北京市 阿里云 101.X.X.71 北京市 阿里云 58.X.X.166 山东省 中国电信 123.X.X.197 北京市 阿里云 101.X.X.55 北京市 阿里云 123.X.X.76 北京市 阿里云 （2）NTP 反射服务器资源 NTP 反射攻击利用了 NTP （一种通过互联网服务于计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP 服务器的默认 123 端口发送伪造受害者 IP 地址的 Monlist指令数据包，使 NTP 服务器向受害者 IP 地址反射返回比原始数据包大数倍的数据，从而进行反射攻击。 根据 CNCERT 抽样监测数据，2018

22、 年以来 NTP 反射攻击事件共涉及我国境内 2,040,066 台反射服务器， 境外 1,160,134台反射服务器。 2018 年以来被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计， 山东省占比最大， 占 20.3%， 其次是河南省、河北省和湖北省；按归属运营商统计，中国联通占比最大，占37.1%，中国移动占 32.0%，中国电信占 28.8%，如图 6 所示。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 13/ 35 图 6 2018 年以来被利用发起 NTP 反射攻击的境内反射服务器数量按省份和运营商分布 2018 年以来被利用发起 NTP 反射攻击的境外反

23、射服务器数量按国家或地区统计，越南占比最大，占 51.9%，其次是澳大利亚、美国和巴西，如图 7 所示。 图 7 2018 年以来被利用发起 NTP 反射攻击的境外反射服务器数量按国家或地区分布 2018 年以来被利用发起 NTP 反射攻击的境内反射服务器按被利用发起攻击数量排名 TOP30 及归属如表 4 所示，位于新疆维吾尔自治区的地址最多。 表 4 2018 年以来境内被利用发起 NTP 反射攻击的反射服务器按涉事件数量 TOP30 CNCERT 2018 年我国 DDoS 攻击资源分析报告 14/ 35 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商归属运营商或云服务商或云

24、服务商 221.X.X.37 河南省 中国移动 119.X.X.37 四川省 中国联通 220.X.X.54 安徽省 中国联通 111.X.X.30 贵州省 中国联通 202.X.X.70 新疆维吾尔自治区 中国电信 60.X.X.118 新疆维吾尔自治区 中国联通 218.X.X.126 广西壮族自治区 中国电信 61.X.X.24 北京市 中国联通 125.X.X.194 吉林省 中国联通 119.X.X.198 吉林省 中国联通 203.X.X.100 湖南省 中国联通 60.X.X.126 新疆维吾尔自治区 中国联通 123.X.X.82 北京市 中国联通 123.X.X.134 河南

25、省 中国电信 60.X.X.134 河北省 中国联通 117.X.X.61 天津市 中国联通 124.X.X.22 北京市 中国联通 202.X.X.14 吉林省 中国联通 124.X.X.166 北京市 中国联通 122.X.X.170 江苏省 中国联通 60.X.X.158 新疆维吾尔自治区 中国联通 119.X.X.3 四川省 中国联通 61.X.X.174 山东省 中国联通 60.X.X.102 山东省 中国联通 183.X.X.166 浙江省 中国电信 61.X.X.59 河南省 中国联通 60.X.X.12 新疆维吾尔自治区 中国联通 124.X.X.90 北京市 中国联通 221

26、.X.X.174 新疆维吾尔自治区 中国联通 221.X.X.10 黑龙江省 中国联通 123.X.X.76 北京市 阿里云 （3）SSDP 反射服务器资源 SSDP 反射攻击利用了 SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一） 服务器存在的协议脆弱性，攻击者通过向 SSDP 服务器的默认 1900 端口发送伪造受害者 IP 地址的查询请求，使 SSDP 服务器向受害者 IP 地址CNCERT 2018 年我国 DDoS 攻击资源分析报告 15/ 35 反射返回比原始数据包大数倍的应答数据包， 从而进行反射攻击。 根据 CNCERT 抽样监测数据，2018 年以

27、来 SSDP 反射攻击事件共涉及境内 14,322,657 台反射服务器，境外 1,952,991 台反射服务器。 2018年以来被利用发起SSDP反射攻击的境内反射服务器数量按省份统计， 辽宁省占比最大， 占 14.8%， 其次是山东省、浙江省和江苏省；按归属运营商统计，中国联通占比最大，占57.8%，中国电信占 39.5%，中国移动占 2.3%，如图 8 所示。 图 8 2018 年以来被利用发起 SSDP 反射攻击的境内反射服务器数量按省份和运营商分布 2018年以来被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计，俄罗斯占比最大，占 19.7%，其次是中国台湾、美国和意大

28、利，如图 9 所示。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 16/ 35 图 9 2018 年以来被利用发起 SSDP 反射攻击的境外反射服务器数量按国家或地区分布 2018年以来被利用发起SSDP反射攻击的境内反射服务器按攻击事件数量排名 TOP30 的反射服务器及归属如表 5 所示，位于云南省的地址最多。 表 5 2018 年以来境内被利用发起 SSDP 反射攻击的反射服务器按涉事数量 TOP30 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商归属运营商 116.X.X.15 云南省 中国电信 123.X.X.202 内蒙古自治区 中国电信 120.X.X

29、.234 新疆维吾尔自治区 中国电信 111.X.X.5 湖北省 中国移动 112.X.X.50 云南省 中国电信 113.X.X.14 广西壮族自治区 中国电信 101.X.X.206 上海市 中国电信 111.X.X.69 宁夏回族自治区 中国移动 218.X.X.90 宁夏回族自治区 中国电信 116.X.X.98 上海市 中国电信 111.X.X.182 湖南省 中国移动 118.X.X.118 甘肃省 中国电信 124.X.X.54 上海市 中国电信 116.X.X.163 广西壮族自治区 中国电信 117.X.X.196 新疆维吾尔自治区 中国移动 116.X.X.191 云南省

30、中国电信 120.X.X.102 新疆维吾尔自治区 中国电信 120.X.X.138 新疆维吾尔自治区 中国电信 117.X.X.46 上海市 中国联通 1.X.X.10 内蒙古自治区 中国电信 CNCERT 2018 年我国 DDoS 攻击资源分析报告 17/ 35 119.X.X.138 广东省 中国电信 116.X.X.10 云南省 中国电信 182.X.X.97 云南省 中国电信 218.X.X.163 湖南省 中国电信 117.X.X.182 新疆维吾尔自治区 中国移动 125.X.X.192 广西壮族自治区 中国电信 222.X.X.209 云南省 中国电信 111.X.X.6 黑

31、龙江省 中国移动 101.X.X.34 上海市 中国电信 113.X.X.94 陕西省 中国电信 （四）发起伪造流量的路由器分析 1.跨域伪造流量来源路由器 根据 CNCERT 抽样监测数据， 2018 年以来通过跨域伪造流量发起攻击的流量来源于 426 个路由器。 根据参与攻击事件的数量统计， 归属于新疆维吾尔自治区移动的路由器 （221.X.X.9、221.X.X.5）参与的攻击事件数量最多，其次是归属于北京市电信（219.X.X.70）的路由器，如表 6 所示。 表 6 2018 年以来参与攻击最多的跨域伪造流量来源路由器 TOP25 跨域伪造跨域伪造流量来源路由器流量来源路由器 归属省

32、份归属省份 归属运营商归属运营商 221.X.X.9 新疆维吾尔自治区 中国移动 221.X.X.5 新疆维吾尔自治区 中国移动 219.X.X.70 北京市 中国电信 113.X.X.253 湖北省 中国联通 113.X.X.252 湖北省 中国联通 221.X.X.6 新疆维吾尔自治区 中国移动 61.X.X.25 浙江省 中国电信 218.X.X.101 内蒙古自治区 中国联通 120.X.X.9 广东省 中国联通 120.X.X.8 广东省 中国联通 222.X.X.200 山东省 中国电信 150.X.X.2 山东省 中国电信 222.X.X.1 广西省 中国电信 211.X.X.1

33、9 贵州省 中国移动 150.X.X.1 山东省 中国电信 CNCERT 2018 年我国 DDoS 攻击资源分析报告 18/ 35 222.X.X.2 广西省 中国电信 221.X.X.253 广东省 中国联通 221.X.X.254 广东省 中国联通 222.X.X.201 山东省 中国电信 220.X.X.253 北京市 中国电信 218.X.X.177 贵州省 中国移动 218.X.X.176 贵州省 中国移动 220.X.X.243 北京市 中国电信 211.X.X.20 贵州省 中国移动 202.X.X.137 浙江省 中国电信 2018 年以来跨域伪造流量涉及路由器按省份分布统计

34、，北京市占比最大，占 16.2%，其次是江苏省和广东省；按路由器所属运营商统计，中国联通占比最大，占 34.4%，中国移动占 28.8%，中国电信占 22.8%，如图 10 所示。 图 10 2018 年以来跨域伪造流量来源路由器数量按省份和运营商分布 2.本地伪造流量来源路由器 根据 CNCERT 抽样监测数据， 2018 年以来通过本地伪造流量发起攻击的流量来源于 1019 个路由器。根据参与攻击事件的数量统计，归属于北京市电信的路由器（220.X.X.243、220.X.X.253）参与的攻击事件数量最多，其次是归属于浙江省电信的路由器（220.X.X.127、220.X.X.126）

35、，如表 7 所示。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 19/ 35 表 7 2018 年以来参与攻击最多的本地伪造流量来源路由器 TOP25 本地伪造本地伪造流量来源路由器流量来源路由器 归属省份归属省份 归属运营商归属运营商 220.X.X.243 北京市 中国电信 220.X.X.253 北京市 中国电信 220.X.X.127 浙江省 中国电信 220.X.X.126 浙江省 中国电信 219.X.X.2 山西省 中国电信 61.X.X.4 浙江省 中国电信 118.X.X.169 四川省 中国电信 219.X.X.10 山西省 中国电信 211.X.X.19

36、贵州省 中国移动 61.X.X.8 浙江省 中国电信 211.X.X.254 河南省 中国移动 211.X.X.253 河南省 中国移动 221.X.X.1 河南省 中国移动 221.X.X.2 河南省 中国移动 222.X.X.16 新疆维吾尔自治区 中国电信 222.X.X.15 新疆维吾尔自治区 中国电信 211.X.X.20 贵州省 中国移动 222.X.X.2 吉林省 中国联通 150.X.X.1 山东省 中国电信 150.X.X.2 山东省 中国电信 118.X.X.168 四川省 中国电信 218.X.X.177 贵州省 中国移动 218.X.X.176 贵州省 中国移动 222

37、.X.X.4 吉林省 中国联通 218.X.X.130 四川省 中国电信 2018 年以来本地伪造流量涉及路由器按省份分布，江苏省占比最大，占 10.4%，其次是山东省、河南省和北京市；按路由器所属运营商统计，中国电信占比最大，占 37.9%，中国移动占 32.5%，中国联通占 20.6%，如图 11 所示。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 20/ 35 图 11 2018 年以来本地伪造流量来源路由器数量按省份和运营商分布 三、我国境内攻击资源年度活跃及治理情况分析 2018 年以来，在主管部门指导下，CNCERT 组织各省分中心，联合各地运营商、云服务商等对我国

38、境内的 DDoS 网络攻击资源进行了专项治理，取得了较好的效果： 根据 CNCERT 自主监测数据，综合境内各类 DDoS 网络攻击资源的变化趋势， （1）控制端、肉鸡等资源的月活跃数量较2017 年有了较明显的下降趋势； （2）控制端、跨域伪造流量来源路由器、 本地伪造流量来源路由器等资源每月的新增率不变、消亡率相比 2017 年月度平均数值呈现一定程度的上升，意味着资源消亡速度加快，可利用的资源数量逐步减少； （3）反射服务器资源每月的消亡率不变、新增率相比 2017 年月度平均数值呈现一定程度的下降， 意味着可新增的资源数量逐步减少。 根据外部分析报告， （1）国际安全厂商卡巴斯基“全球

39、CNCERT 2018 年我国 DDoS 攻击资源分析报告 21/ 35 DDoS 攻击每季度分析系列报告”1显示，位于我国境内的僵尸网络控制端数量在全球的占比呈现逐年下降趋势， 控制端数量在全球的排名呈现上升趋势， 说明位于我国境内的僵尸网络控制端数量持续减少； （2） 中国电信云堤与安全企业绿盟共同发布的2018 年 DDoS 攻击态势报告2指出，得益于对反射攻击的有效治理，全年 DDoS 攻击次数较 2017 年下降 28.4%，特别是反射攻击较去年减少了 80%,活跃反射源下降了 60%， 特别是SSDP 反射源有显著的减少。 具体情况如下： （一）我国境内攻击资源年度活跃趋势 1、控

40、制端资源 2018 年， 利用肉鸡发起 DDoS 攻击的境内控制端平均每月数量为 38.5 个,较 2017 年平均每月数量相比下降 46%。 境内控制端资源每月的新增率为 75%，消亡率为 77%，与 2017 年平均每月 70%的新增率和 71%的消亡率相比， 资源变化速度加快。其中，位于上海市的境内控制端（182.X.X.227） 、位于浙江省的境内控制端（120.X.X.114） 、位于北京市的境内控制端（117.X.X.204） 、在近三个月甚至半年内持续活跃。 2、肉鸡资源 2018 年以来， 被利用发起 DDoS 攻击的境内肉鸡平均每月 1 https:/ 2 http:/ CN

41、CERT 2018 年我国 DDoS 攻击资源分析报告 22/ 35 数量为 130,292 个，与 2017 年平均每月数量相比下降 37%。境内肉鸡资源每月的新增率为 78%，消亡率为 76%，与 2017年平均每月 87%的新增率和 88%的消亡率相比均有所下降。 截止 2018 年 12 月仍被利用的境内肉鸡资源中， 监测发现有 2,658 个肉鸡本年度持续活跃超过六个月， 这些肉鸡资源根据涉及事件数量排序 TOP20 如表 8 所示。 表 8 2018 年持续活跃超过六个月的境内肉鸡根据发起 DDoS 攻击事件数量 TOP20 肉鸡地址肉鸡地址 归属省份归属省份 归属运营商或云服务商

42、归属运营商或云服务商 222.X.X.63 贵州省 中国电信 122.X.X.166 浙江省 中国电信 122.X.X.199 河南省 中国联通 60.X.X.211 山西省 中国联通 121.X.X.3 浙江省 阿里云 121.X.X.2 浙江省 阿里云 121.X.X.1 浙江省 阿里云 202.X.X.138 新疆维吾尔自治区 中国电信 220.X.X.58 广西壮族自治区 中国电信 183.X.X.101 江苏省 中国移动 42.X.X.7 北京市 中国电信 58.X.X.243 江苏省 中国联通 183.X.X.79 浙江省 中国电信 117.X.X.248 江西省 中国电信 218

43、.X.X.249 广西壮族自治区 中国电信 202.X.X.202 北京市 中国联通 119.X.X.27 广东省 中国电信 183.X.X.182 浙江省 中国移动 121.X.X.89 浙江省 阿里云 112.X.X.234 江苏省 中国联通 上述持续活跃超过六个月的境内肉鸡资源按省份统计， 广东省占的比例最大，占 14.6%，其次是浙江省、山东省和江苏省；按运营商统计，中国电信占的比例最大，占 57.2%，中国联通占 24.9%，中国移动占 14.3%，如图 12 所示。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 23/ 35 图 12 2018 年持续活跃超过 6 个

44、月的肉鸡数量按省份和运营商分布 3、反射服务器资源 2018 年， 利用境内服务器、 主机等设施发起 DDoS 反射攻击的反射服务器平均数量为 2,258,099 个。境内反射服务器资源每月的新增率为 65%，消亡率为 71%，与 2017 年平均每月的 85%新增率和的 71%消亡率相比，新增率呈现减缓趋势。 截止 2018 年 12 月仍被利用的境内 Memcached 反射服务器中，监测发现有 1,348 个在本年度持续活跃超过六个月，这些 Memcached 反射服务器根据涉及事件数量排序 TOP20 如表9 所示。 表9 2018年被利用发起攻击超过六个月的境内Memcached反射

45、服务器根据攻击事件数量TOP20 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商或云服务商归属运营商或云服务商 115.X.X.100 山东省 阿里云 123.X.X.128 北京市 阿里云 121.X.X.127 浙江省 阿里云 223.X.X.13 四川省 中国移动 123.X.X.237 北京市 阿里云 182.X.X.143 北京市 阿里云 115.X.X.4 山东省 阿里云 106.X.X.51 北京市 中国电信 CNCERT 2018 年我国 DDoS 攻击资源分析报告 24/ 35 117.X.X.92 陕西省 中国电信 101.X.X.178 北京市 阿里云 120

46、.X.X.127 广东省 阿里云 139.X.X.137 上海市 阿里云 60.X.X.105 天津市 中国联通 119.X.X.156 北京市 中国电信 182.X.X.145 北京市 阿里云 101.X.X.253 北京市 阿里云 115.X.X.53 浙江省 阿里云 115.X.X.236 山东省 阿里云 121.X.X.156 浙江省 中国电信 211.X.X.112 湖南省 中国移动 上述持续活跃超过六个月的境内 Memcached 反射服务器按省份统计， 山东省占的比例最大， 占 10.6%， 其次是辽宁省、广东省、浙江省和河南省；按运营商或云服务统计，中国联通占的比例最大， 占

47、45.6%， 中国电信占 33.0%， 中国移动占 12.0%，阿里云占 6.2%，如图 13 所示。 图 13 2018 年活跃超过 6 个月的 Memcached 反射服务器数量按省份运营商或云服务商分布 截止 2018 年 12 月仍被利用的境内 NTP 反射服务器中，监测发现有 89,303个在本年度持续活跃超过六个月， 这些 NTP反射服务器根据涉及事件数量排序 TOP20 如表 10 所示。 CNCERT 2018 年我国 DDoS 攻击资源分析报告 25/ 35 表 10 2018 年被利用发起攻击超过六个月的境内 NTP 反射服务器根据攻击事件数量 TOP20 反射服务器地址反

48、射服务器地址 归属省份归属省份 归属运营商或云服务商归属运营商或云服务商 124.X.X.22 北京市 中国联通 223.X.X.33 四川省 中国移动 59.X.X.62 海南省 中国电信 120.X.X.12 河北省 中国联通 111.X.X.105 河北省 中国移动 101.X.X.56 浙江省 中国联通 125.X.X.2 浙江省 中国电信 61.X.X.130 湖北省 中国联通 221.X.X.37 河南省 中国移动 60.X.X.196 河北省 中国联通 111.X.X.130 西藏自治区 中国移动 61.X.X.38 北京市 中国联通 221.X.X.40 广西壮族自治区 中国联

49、通 183.X.X.179 河北省 中国移动 113.X.X.28 湖北省 中国联通 125.X.X.157 河南省 中国联通 218.X.X.131 安徽省 中国电信 175.X.X.38 吉林省 中国联通 220.X.X.13 湖南省 中国电信 221.X.X.28 浙江省 中国联通 上述持续活跃超过六个月的境内 NTP 反射服务器按省份统计， 河北省占的比例最大， 占 15.3%， 其次山东省、 辽宁省、河南省和湖北省； 按运营商或云服务统计， 中国联通占的比例最大，占 50.8%，中国电信占 31.5%，中国移动占 16.9%，如图 14 所示。 CNCERT 2018 年我国 DDo

50、S 攻击资源分析报告 26/ 35 图 14 2018 年以来持续活跃超过 6 个月的 NTP 反射服务器数量按省份运营商或云服务商分布 截止 2018 年 12 月仍被利用的境内 SSDP 反射服务器中，监测发现有 84,867 个在本年度持续活跃超过六个月，这些SSDP 反射服务器根据涉及事件数量排序 TOP20 如表 11 所示。 表 11 2018 年被利用发起攻击超过六个月的境内 SSDP 反射服务器根据攻击事件数量 TOP20 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商或云服务商归属运营商或云服务商 1.X.X.122 内蒙古自治区 中国联通 124.X.X.122