欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

CNCERT 2018年2月我国DDoS攻击资源分析报告

来源:本站整理 作者:佚名 时间:2018-03-29 TAG: 我要投稿

本月重点关注情况
1、本月利用memcached服务器实施反射攻击的事件大幅上升,自2月21日开始在我国境内尤为活跃。本月被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、浙江省、和北京市;数量最多的归属云服务商是阿里云。反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于安徽省移动、上海市移动、和北京市电信。
2、本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河南省、北京市、和河北省;数量最多的归属运营商是联通。反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于辽宁省电信、浙江省电信和浙江省联通。
3、本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、辽宁省、和河北省;数量最多的归属运营商是联通。而反射攻击发起流量来源路由器根据转发攻击事件的数量统计,最多的路由器归属于北京市电信、天津市电信、和辽宁省移动。
攻击资源定义
近日,利用memcached服务器实施反射DDoS攻击的事件大幅上升。CNCERT对三类重点反射攻击事件进行了集中监测和分析,本报告为2018年2月份的反射攻击资源专项分析报告。围绕互联网环境威胁治理问题,重点对“被利用发起DDoS反射攻击的重要网络资源有哪些”这个问题进行分析。反射攻击的网络资源包括:
1、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
2、 反射攻击发起流量来源路由器,指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP地址,因此反射攻击发起流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击发起流量来源路由器单独统计。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
反射攻击资源总情况分析
1 反射服务器资源分析
根据CNCERT抽样监测数据,2018年2月,利用反射服务器发起的三类重点反射攻击共涉及2,252,085台反射服务器,其中境内反射服务器1,804,807台,境外反射服务器447,278台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器有45,412台,占比2.0%,其中境内反射服务器16,594台,境外反射服务器28,818台;利用NTP反射发起反射攻击的反射服务器有32,693台,占比1.5%,其中境内反射服务器3,806台,境外反射服务器28,887台;利用SSDP反射发起反射攻击的反射服务器有2,173,980台,占比96.5%,其中境内反射服务器1,784,407台,境外反射服务器389,573台。
三种重点反射攻击类型根据所利用的反射服务器数量统计,占比最多的是SSDP反射攻击,占96.5%;根据攻击事件数量统计,占比最多的也是SSDP反射攻击,占51.9%。如图1所示。

图1 本月反射攻击利用端口根据服务器数量及事件数量统计
2 memchache反射服务器反射攻击资源分析
(1)反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年2月,利用memcached服务器实施反射攻击的事件共涉及境内16,594台反射服务器,境外28,818台反射服务器。本月此类事件涉及的反射服务器数量趋势图,如图2所示,监测发现自2月21日开始被利用发起攻击的反射服务器数量上升明显。

图2 本月memcached反射服务器数量按天分布图
本月境内反射服务器数量按省份统计,广东省占的比例最大,占24.1%,其次是浙江省、北京市和山东省;按归属运营商或云服务商统计,阿里云占的比例最大,占35.9%,电信占比31.3%,联通占比11.7%,移动占比8.2%,如图3所示。

图3 本月境内memcached反射服务器数量按省份、运营商或云服务商分布
本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占29.8%,其次是日本、法国和俄罗斯,如图4所示。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载