CNCERT 2018年1月我国DDoS攻击资源分析报告

本月重点关注情况

1、本月参与攻击较多的肉鸡地址大量归属于江苏省。其中，涉及江苏省移动多个地址段的肉鸡被反复多次利用，需要重点关注，详见2.2节。 2、本月包含跨域伪造流量的DDoS攻击事件占事件总量的比例较上月有较大程度的下降。归属于浙江省和上海市的近两年持续活跃的跨域伪造流量来源路由器数量最多，详见2.4节。 3、近期持续活跃的本地伪造流量来源路由器数量占比最大的省份为江苏省、江西省、和福建省，详见2.4节。 4、通过对近两月的DDoS攻击情况进行对比，境内真实地址攻击事件量、伪造流量攻击事件量在绝大部分省份均有不同程度的减少，治理效果较明显。特别地，北京市、山西省上月的威胁治理工作效果显著，攻击资源和事件数量均有较大程度的下降。

攻击资源定义

本报告为2018年1月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：

1、 控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的受控主机节点。 3、 反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。 4、 反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址，因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊，本报告将反射攻击流量来源路由器单独统计。 5、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。 6、 本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。

为保护网络资源信息不被恶意利用，报告中提及的具体IP地址都进行了脱敏处理。

DDoS攻击资源分析

（一）控制端资源分析

根据CNCERT抽样监测数据，2018年1月，利用肉鸡发起DDoS攻击的控制端总量为1,617个，其中，1,010个控制端位于境内，607个控制端位于境外。

位于境外的控制端按国家或地区分布，美国占的比例最大，占44.0%，其次是加拿大和中国香港，如图1所示。

图1本月发起DDoS攻击的境外控制端数量按国家或地区TOP30

位于境内的控制端按省份统计，广东省占的比例最大，占15.9%，其次是北京市、上海市和浙江省；按运营商统计，电信占的比例最大，占46.8%，联通占29.3%，移动占15.6%，如图2所示。

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端前二十名及归属如表1所示，主要位于广东省、江苏省、浙江省和北京市。

表1 本月发起攻击最多的境内控制端TOP20

本月平均每个控制端在3.69天尝试发起了DDoS攻击，攻击天次最多的控制端地址位于美国（155.X.X.207），在28天范围内发起了攻击，超过总监测天数的十分之九。

2017年度攻击月次超过6月次的21个控制端中，有两个控制端在本月仍活跃，分别是归属浙江省的电信地址（121.X.X.62）及归属上海市的电信地址（180.X.X.134）。此外，2017年度发起DDoS攻击次数在TOP100的控制端中，仅发现位于美国的两个IP地址（23.X.X.170、23.X.X.131）在本月仍活跃外，其它控制端均未监测到其进一步发起DDoS攻击事件。

2017年12月监测到的控制端中，41.1%的控制端在本月仍处于活跃状态，共计627个，其中位于我国境内的控制端数量为557个，位于境外的控制端数量为70个。近两月持续活跃的境内控制端按省份统计，广东省占的比例最大，为13.1%，其次是北京市、浙江省和上海市；按运营商统计，电信占的比例最大，为42.2%，联通占30.2%，移动占18.5%，如图3所示。

图3近两月活跃的发起DDoS攻击的境内控制端数量按省份和运营商分布

（二）肉鸡资源分析

根据CNCERT抽样监测数据，2018年1月，利用真实地址攻击（包含真实地址攻击与其它攻击的混合攻击）的DDoS攻击事件占事件总量的70.3%。其中，共有104,597个肉鸡地址参与攻击，涉及38,482个IP地址C段。

这些肉鸡资源按省份统计，江苏省占的比例最大，为28.8%，其次是重庆市、湖北省和福建省；按运营商统计，电信占的比例最大，为46.3%，移动占41.8%，联通占9.5%，如图4所示。

图4 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表2所示，位于江苏省的地址最多。其中，涉及江苏省移动多个地址段的肉鸡被反复多次利用，需要重点关注。

表2本月参与攻击最多的肉鸡地址TOP20

肉鸡资源在本月被利用参与发起DDoS攻击的平均天次达1.98次。其中参与攻击天次最多的肉鸡地址为归属于江苏省移动（112.X.X.16、112.X.X.210、 112.X.X.10）的地址，分别参与了18天次的攻击，接近监测天数的五分之三。

2017年度攻击月次超过6月次的肉鸡中（共计2094个），监测发现有380个在本月仍活跃，存活率为18.1%。这些活跃肉鸡地址按省份统计，辽宁省的数量最多，为68个，其次是江苏省、河南省和上海市；按运营商统计，电信占的比例最大，占43.3%，联通占39.3%，移动占13.2%，如图5所示。

图5 2017年度攻击月次超过6月次且本月仍活跃的肉鸡数量按省份和运营商分布

此外，2017年度被利用发起DDoS攻击次数TOP100的肉鸡中，监测发现有29个在本月仍活跃，存活率为29%。持续活跃的29个肉鸡地址如表3所示，其中归属于河南省联通的地址数量最多。

表3 2017年度攻击次数TOP100且在本月持续活跃的肉鸡地址

2017年12月监测到的肉鸡资源中，5.9%的肉鸡在本月仍处于活跃状态，共计8161个。近两月持续活跃的肉鸡资源按省份统计，江苏省占的比例最大，占31.4%，其次是福建省、重庆市和内蒙古自治区；按运营商统计，移动占的比例最大，占53.0%，电信占40.0%，联通占6.2%，如图6所示。

图6 近两月持续活跃的肉鸡数量按省份和运营商分布

（三）反射攻击资源分析

1．反射服务器资源

根据CNCERT抽样监测数据，2018年1月，利用反射服务器发起的反射攻击的DDoS攻击事件占事件总量的21.7%，共涉及33,731台反射服务器。

反射攻击所利用的服务端口根据反射服务器数量统计、以及按发起反射攻击事件数量统计，被利用最多的均为1900端口。如图7所示。

图7 本月反射攻击利用端口根据服务器数量及事件数量统计

根据反射服务器数量按省份统计，河北省占的比例最大，占19.1%，其次是福建省、内蒙古自治区和江苏省；按运营商统计，联通占的比例最大，占49.6%，电信占比41.5%，移动占比8.4%，如图8所示。

图8 本月反射服务器数量按省份和运营商分布

参与攻击最多的反射服务器前二十名及归属如表4所示，位于重庆市移动的地址最多。

表4本月参与攻击最多的反射服务器TOP20

反射服务器在本月被利用参与发起DDoS攻击的平均天次为1.23次。其中参与攻击最多的反射服务器地址为归属于重庆市移动的地址（183.X.X.36），共参与了15天攻击，约占监测天数的二分之一。

2017年度被利用发起攻击超过6月次的反射服务器中（共计1151个），监测发现有481个在本月仍活跃，存活率为41.8%。这些持续被利用的反射服务器按省份统计，贵州省的数量最多，为84个，其次是湖北省、辽宁省和新疆维吾尔自治区；按运营商统计，电信占的比例最大，占42.8%，移动占30.5%，联通占26.3%，如图9所示。

图9 2017年被利用发起攻击超过6月次且本月仍活跃的反射服务器数量按省份运营商分布

此外，2017年度被利用发起DDoS攻击次数TOP100的反射服务器中，监测发现有48个在本月仍活跃，存活率为48%。其中，位于新疆维吾尔自治区和辽宁省的地址数量最多。

表5 2017年度被利用发起攻击次数TOP100且在本月持续活跃的反射服务器地址

2017年12月监测到的反射服务器资源中，7.0%的反射服务器在本月仍处于活跃状态，共计2231个。这些近两月持续活跃的反射服务器资源按省份统计，福建省占的比例最大，为15.7%，其次是江苏省、贵州省和四川省；按运营商统计，电信占的比例最大，为53.4%，联通占29.7%，移动占16.0%，如图10所示。

图10 近两月持续活跃的反射服务器数量按省份和运营商分布

2．反射攻击流量来源路由器

2018年1月，境内反射攻击流量主要来源于193个路由器，根据参与攻击事件的数量统计，归属于天津市电信的路由器（221.X.X.2）涉及的攻击事件最多，其次是归属于天津市电信（221.X.X.1）、浙江省联通（221.X.X.23、221.X.X.22）的路由器，如表5所示。在表中用黄色标注的6个反射攻击流量来源路由器，为2017年被利用发起DDoS攻击次数的排名位列TOP25，且监测发现在本月仍排在前列的路由器地址。

表6 本月发起反射放大攻击事件的流量来源路由器按事件TOP25

根据发起反射攻击事件的来源路由器数量按省份统计，北京市占的比例最大，占10.2%，其次是浙江省、广东省和安徽省；按发起反射攻击事件的来源运营商统计，联通占的比例最大，占51.2%，电信占比48.8%，如图11所示。

图11 本月反射攻击流量来源路由器数量按省份和运营商分布

（四）发起伪造流量的路由器分1.跨域伪造流量来源路由器

根据CNCERT抽样监测数据，2018年1月，包含跨域伪造流量的DDoS攻击事件占事件总量的11.8%，较上月的比例（53.4%）有较大程度的下降。通过跨域伪造流量发起攻击的流量来源于52个路由器。根据参与攻击事件的数量统计，归属于吉林省联通的路由器（125.X.X.57、218.X.X.9）参与的攻击事件数量最多，其次是归属于辽宁省移动（211.X.X.44、211.X.X.45）的路由器，如表6所示。在表中用黄色标注的5个跨域攻击流量来源路由器，为2017年被利用发起DDoS攻击次数的排名位列TOP25，且监测发现在本月仍排在前列的路由器地址。

表7 本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量涉及路由器按省份分布统计，浙江省占的比例最大，占13.5%，其次是吉林省和上海市；按路由器所属运营商统计，移动占的比例最大，占53.8%，联通占比25.0%，电信占比21.2%，如图12所示。

图12 跨域伪造流量来源路由器数量按省份和运营商分布

本月转发跨域伪造攻击流量的路由器中，平均每个路由器在1.9天被发现发起跨域伪造地址流量攻击，归属于于吉林省联通的路由器（218.X.X.9、125.X.X.57 ）参与攻击天次最多，分别在6天范围内被发现发起跨域攻击流量，约占监测总天数的五分之一。

2017年度被利用转发跨域伪造攻击流量的路由器超过6月次的跨域伪造流量来源路由器中（共计66个），监测发现有22个在本月仍活跃，存活率为33.3%。这些活跃的转发跨域伪造攻击流量的路由器按省份统计，归属浙江省和上海市的路由器数量最多，如表9所示。

表9 2017年长期被利用转发跨域伪造攻击流量且本月仍活跃路由器地址

此外，2017年度被利用转发DDoS攻击事件次数TOP100的跨域伪造流量来源路由器中，监测发现有24个在本月仍活跃，存活率为24%。按省份统计，浙江省和上海市路由器数量最多，如表10所示。

表10 2017年被利用转发跨域伪造流量攻击次数TOP100且本月仍活跃路由器地址

2017年12月监测到的跨域攻击流量来源路由器资源中，36.6%的路由器在本月仍处于活跃状态，共计37个。近两月持续活跃的跨域攻击流量来源路由器资源按省份统计，浙江省和上海市的路由器数量最多，如表11所示。

表11 近两月持续活跃的跨域攻击流量来源路由器

2.本地伪造流量来源路由器

根据CNCERT抽样监测数据，2018年1月，包含本地伪造流量的DDoS攻击事件占事件总量的18.5%，通过本地伪造流量发起攻击的流量来源于562个路由器。根据参与攻击事件的数量统计，11个归属于江苏省移动的路由器（221.X.X.4、221.X.X.3、221.X.X.1、221.X.X.2、202.X.X.241、221.X.X.160、221.X.X.159、221.X.X.5、221.X.X.6、221.X.X.8、221.X.X.9）参与的攻击事件数量最多，其次是归属于浙江省电信的路由器（61.X.X.4），如表12所示。在表中用黄色标注的8个本地攻击流量来源路由器，为2017年被利用发起DDoS攻击次数的排名位列TOP25，且监测发现在本月仍排在前列的路由器地址。

表12 本月参与攻击最多的本地伪造流量来源路由器TOP25

本月本地伪造流量涉及路由器按省份分布，江苏省占的比例最大，占26.3%，其次是福建省、江西省、及贵州省；按路由器所属运营商统计，电信占的比例最大，占52.2%，移动占比35.5%，联通占比12.4%，如图13所示。

图13 本地伪造流量来源路由器数量按省份和运营商分布

本月转发本地伪造攻击流量的路由器中，平均每个路由器在2.49天被发现发起跨域伪造地址流量攻击，最多的归属于江苏省移动的路由器（221.X.X.3、221.X.X.3）均在9天范围内被发现发起跨域攻击流量，约占监测总天数的三分之一。

2017年度被利用转发本地伪造攻击流量的路由器超过6月次的本地伪造流量来源路由器中（共计169个），监测发现有69个在1月份仍活跃，存活率为40.8%。这些活跃的转发本地伪造攻击流量的路由器按省份统计，浙江省和江西省数量最多，其次是江苏省、上海市、和福建省；按运营商统计，电信占的比例最大，占79.4%，联通占11.8%，移动占8.8%，如图14所示。

图14 2017年活跃超6月次且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

此外，2017年被利用转发本地伪造流量DDoS攻击事件次数TOP100的路由器中，监测发现有50个在本月仍活跃，存活率为50%。按省份统计，福建省、江西省和江苏省的数量最多；按运营商统计，电信占的比例最大，占89.8%。

图15 2017年被利用TOP100且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

2017年12月监测到的本地攻击流量来源路由器资源中，40.2%的路由器在本月仍处于活跃状态，共计80个。近两月持续活跃的本地攻击流量来源路由器资源按省份统计，江苏省占的比例最大，占32.9%；按运营商统计，电信和联通占的比例最大，占40.5%，如图16所示。

图16 近两月活跃的本地伪造流量来源路由器数量按省份和运营商分布

本月攻击资源治理效果分析

（一）攻击资源维度

1．控制端资源

根据CNCERT抽样监测数据，与2017年12月相比，本月利用肉鸡发起DDoS攻击的控制端总量较之增加93个，其中境内控制端数量比12月减少246个，境外控制端数量比12月增加339个。其中境内控制端中，浙江省减少数量最多，达44个，其次是河南省、陕西省和北京市；而宁夏回族自治区相比于上月境内控制端数量提高最多，达13个，如图17所示。

图17 近两月各省份控制端数量变化情况

2．肉鸡资源

根据CNCERT抽样监测数据，本月利用肉鸡资源发起DDoS攻击的境内肉鸡数量按省份统计，江苏省最多，占28.8%，其次是重庆市、湖北省和福建省。相较于2017年12月的肉鸡资源数量，北京市本月减少的肉鸡数量最多，达 15,930个，其次是湖北省、浙江省和四川省，山西省本月未监测发现被利用发起攻击的肉鸡地址；而江苏省相比于12月肉鸡IP 数增加最多，达7,757个，如图18所示。

图18 近两月各省份肉鸡数量变化情况

3．反射服务器资源

根据CNCERT抽样监测数据，本月利用境内反射服务器发起反射攻击的服务器数量按省份统计，河北省最多，占19.1%，其次是福建省、内蒙古自治区和江苏省。相较于2017年12月份利用反射服务器发起反射攻击的服务器数量，山东省减少的数量最多，达 2,832个，其次是北京市和浙江省；而河北省相比于12月反射服务器数量增加最多，达 2,131 个，如图19所示。

图19 近两月各省份反射服务器数量变化情况

4．反射来源服务器资源

根据CNCERT抽样监测数据，境内转发反射攻击流量主要来源于42个运营商路由器，根据涉及的路由器数量按照省份统计，归属于北京市的路由器最多，其次是安徽省、浙江省以及上海市。相较于2017年12月份，北京市本月减少的反射攻击流量来源路由器数量最多，达8个，其次是江苏省、广东省和江西省，如图20所示，图中未出现的省份表示两月均未发现来源于该省的转发反射攻击流量的路由器。

图20 近两月各省份反射攻击来源路由器数量变化情况

5．跨域伪造流量来源路由器资源

根据CNCERT抽样监测数据，本月转发跨域伪造流量的运营商路由器按省份统计，浙江省所占比例最大，为13.0%，其次是吉林省和上海市。相较于2017年12月的跨域伪造流量来源服务器资源，北京市本月份减少的路由器数量最多，达17个，其次是广东省、山东省和云南省；而内蒙古自治区、河北省、新疆、江西省和吉林省的路由器数量有所增加，如图 21所示，其中未出现的省份表示两月均未发现来源于该省的转发跨域伪造攻击流量的路由器。

图21 近两月各省份跨域伪造流量来源路由器数量变化情况

6．本地伪造流量来源路由器资源

根据CNCERT抽样监测数据，本月转发本地伪造流量的运营商路由器按省份统计，江苏省所占比例最大，为26.3%，其次是福建省、江西省和浙江省。相较于2017年12月份的本地伪造流量来源服务器资源，北京市和广东省本月减少的路由器数量最多，达14个。而四川省的路由器数量增加最多，达 4个，如图22所示。

图22 近两月各省份本地伪造流量来源路由器数量变化情况

(二）攻击事件维度

1．真实地址攻击事件

根据CNCERT抽样监测数据，本月利用真实地址发起DDoS攻击的事件按省份统计，江苏省事件数量最多，其次是重庆市、湖北省和浙江省。对比2017年12月各省份的此类攻击事件，北京市本月的事件数减少的最多，其次是广东省、浙江省和湖北省，如图23所示。

图23 近两月各省份真实地址攻击事件数量变化情况

2．反射攻击事件

根据CNCERT抽样监测数据，本月利用反射服务器发起的DDoS反射攻击事件按省份统计，浙江省的事件数量最多，其次是天津市、重庆市和河北省。对比2017年12月各省份利用反射服务器发起的攻击事件，北京市本月减少的事件数量最多，其次是山西省、陕西省和江苏省。大部分省份的反射攻击事件数量均有所增加，最多的是重庆市、四川省、河北省，如图24所示。

图24 近两月各省份反射攻击事件数量对比

3．跨域伪造流量攻击

根据CNCERT抽样监测数据，本月包含跨域伪造流量的DDoS攻击事件按省份统计，吉林省的事件数量最多，其次是黑龙江省、辽宁省和河北省。对比2017年12月各省份跨域伪造流量攻击事件，北京市本月事件数量减少的最多，其次是贵州省、广东省和浙江省，如图28所示。从图中可以看出本月治理效果较为明显，大部分省份发出的跨域伪造流量事件数量均有较大程度的减少，如图25所示。

图25 近两月各省份跨域伪造流量攻击事件数量变化情况

4．本地伪造流量攻击

根据CNCERT抽样监测数据，本月包含本地伪造流量的DDoS攻击事件按省份统计，江苏省事件数量最多，其次是浙江省、上海市和福建省。对比2017年12月各省份本地伪造流量攻击事件，浙江省本月事件数量减少的最多，其次是四川省、湖北省和江苏省，如图26所示。从图中可以看出本月治理效果较为明显，除上海市外，其它省份发出的本地伪造流量事件数量均有不同程度的减少。

图26 近两月各省份本地伪造流量攻击事件数量比较情况