CNCERT发布2021年三季度DDoS攻击资源分析报告

 

 

1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、荷兰和德国；境内控制端按省份统计，最多位于广东省、北京市和河南省，按归属运营商统计，电信占比最大，境内活跃控制端数量进一步降低。

 

2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于山东省、重庆市和广东省；按归属运营商统计，联通占比最大；境内肉鸡数量相比第二季度增加108.0%。

 

3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、河南省、和山东省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是湖北省、河北省和河南省；数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。

 

4、本季度转发伪造跨域攻击流量的路由器中，位于贵州省、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于河南省、山东省和湖北省的路由器数量最多。

 

 

 

2021年第3季度CNCERT/CC监测发现，利用肉鸡发起的DDoS攻击活跃控制端有500个，境外控制端占比97.0%、云平台控制端占比77.2%，境内控制端数量进一步降低。

 

在位于境外控制端按国家或地区统计，排名前三位分别为美国（44.1%）、荷兰（9.7%）和德国（8.9%）。

 

位于境内控制端按省份统计，排名前三位分别为广东省（20.0%）、北京市（20.0%）和河南省（13.3%）；按运营商统计，电信占26.7%，联通占6.7%，其他占比66.7%。

 

 

发起攻击最多的境内控制端地址前十名及归属如上表所示，位于上海市的地址最多。

 

 

2021年第3季度CNCERT/CC监测发现，参与真实地址攻击（包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉鸡1004384个，其中境内肉鸡占比96.5%、云平台肉鸡占比1.9%，境内肉鸡数量相比第二季度增加108.0%。

 

位于境外的肉鸡按国家或地区统计，排名前三位的分别为德国（14.8%）、美国（14.1%）和日本（13.4%）。

 

位于境内的肉鸡按省份统计，排名前三位的分别为山东省（12.4%）、重庆市（9.4%）和广东省（7.2%）；按运营商统计，联通占48.4%，电信占47.4%，移动占2.7%。

 

 

参与攻击最多的境内肉鸡地址前二十名及归属如上表所示，位于北京市的地址最多。

 

 

2021年第3季度CNCERT/CC监测发现，参与反射攻击的三类重点反射服务器共1701128台，其中境内反射服务器占比85.6%，Memcached反射服务器占比5.1%，NTP反射服务器占比23.1%，SSDP反射服务器占比71.8%。

 

（1）Memcached反射服务器资源

 

Memcached反射攻击利用了互联网上暴露的大批量Memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包，使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据，从而进行反射攻击。

 

2021年第3季度CNCERT/CC监测发现，参与反射攻击的Memcached反射服务器86714个，其中境内反射服务器占比97.1%、云平台反射服务器占比2.7%。位于境外的反射服务器按国家或地区统计，排名前三位的分别为美国（27.5%）、德国（7.8%）和俄罗斯（5.2%）。位于境内的反射服务器按省份统计，排名前三位的分别为广东省（20.5%）、河南省（16.8%）和山东省（11.7%）；按运营商统计，电信占49.6%，移动占35.9%，联通占13.8%。

 

（2）NTP反射服务器资源

 

NTP反射攻击利用了NTP（一种通过互联网服务于计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包，使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据，从而进行反射攻击。

 

2021年第3季度CNCERT/CC监测发现，参与反射攻击的NTP反射服务器392819个，其中境内反射服务器占比54.4%、云平台反射服务器占比4.2%。位于境外的反射服务器按国家或地区统计，排名前三位的分别为越南（60.2%）、巴西（10.8%）和中国香港（7.2%）。位于境内的反射服务器按省份统计，排名前三位的分别为湖北省（26.6%）、河北省（16.1%）和河南省（12.5%）；按运营商统计，联通占56.5%，电信占33.0%，移动占8.6%。

 

（3）SSDP反射服务器资源

 

SSDP反射攻击利用了SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议脆弱性，攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求，使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包，从而进行反射攻击。

 

2021年第3季度CNCERT/CC监测发现，参与反射攻击的SSDP反射服务器1221595个，其中境内反射服务器占比94.8%、云平台反射服务器占比0.2%。位于境外的反射服务器按国家或地区统计，排名前三位的分别为中国台湾（26.1%）、加拿大（10.6%）和美国（8.3%）。位于境内的反射服务器按省份统计，排名前三位的分别为浙江省（18.8%）、广东省（14.2%）和辽宁省（14.1%）；按运营商统计，电信占55.4%，联通占42.9%，移动占1.4%。

 

 

（1）跨域伪造流量来源路由器

 

2021年第3季度CNCERT/CC监测发现，转发跨域伪造流量的路由器138个；按省份统计，排名前三位的分别为贵州省（14.5%）、四川省（13.8%）和江苏省（8.7%）；按运营商统计，移动占42.0%，电信占38.4%，联通占19.6%。

 

（2）本地伪造流量来源路由器

 

2021年第3季度CNCERT/CC监测发现，转发本地伪造流量的路由器934个；按省份统计，排名前三位的分别为河南（9.6%）、山东省（9.1%）和湖北省（7.5%）；按运营商统计，电信占48.1%，移动占27.1%，联通占24.8%。