CNCERT:2021年一季度我国DDoS攻击资源分析报告(
时间:2021-10-14 06:03 来源:网络整理 作者:采集插件 点击:次
扫码订阅《中国信息安全》杂志 权威刊物 重要平台 关键渠道 邮发代号 2-786 5月27日,国家互联网应急中心(CNCERT)发布了《我国DDoS攻击资源分析报告(2021年第1季度)》(下称“报告”)。报告围绕互联网环境威胁治理问题,基于CNCERT监测的DDos攻击事件数据进行抽样分析,重点对“DDos攻击是从哪些网络资源上发起的”这个问题,从控制端资源、肉鸡资源、反射攻击资源和转发伪造流量的路由器等四方面进行分析。 本季度重点关注情况 1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、德国和荷兰;境内控制端按省份统计,最多位于吉林省、河南省和山东省,按归属运营商统计,联通占比最大。2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于江苏省、安徽省和浙江省;按归属运营商统计,电信占比最大。 3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、山东省、和湖南省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、河北省和湖北省;数量最多的归属运营商是电信。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是浙江省、广东省和辽宁省;数量最多的归属运营商是电信。 4、本季度转发伪造跨域攻击流量的路由器中,位于上海市、四川省和北京市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于江苏省、福建省和广东省的路由器数量最多。 攻击资源定义 本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括: 1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。 2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。 3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源。 4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。 5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。 在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。 DDoS攻击资源分析 1 控制端资源分析 2021年第1季度CNCERT/CC监测发现,利用肉鸡发起DDoS攻击的活跃控制端有793个,其中境外控制端占比97.9%、云平台控制端占比68.5%,如图1所示。 (责任编辑:admin) |