CNCERT:2018年8月我國DDoS攻擊資源分析報告
本月重點關注情況
1、本月利用肉雞發起DDoS攻擊的控制端中,境外控制端接近一半位於美國;境內控制端最多位於江蘇省,其次是浙江省、河南省和廣東省,按歸屬運營商統計,電信佔的比例最大。
2、本月參與攻擊較多的肉雞地址主要位於浙江省、山東省、江蘇省和廣東省,其中大量肉雞地址歸屬於電信運營商。2018年以來監測到的持續活躍的肉雞資源中,位於江蘇省、山東省、廣東省佔的比例最大。
3、本月被利用發起Memcached反射攻擊境內反射伺服器數量相比上月有明顯下降,按省份統計排名前三名的省份是西藏自治區、四川省和廣東省;數量最多的歸屬運營商是電信。被利用發起NTP反射攻擊的境內反射伺服器數量按省份統計排名前三名的省份是山東省、湖北省和河南省;數量最多的歸屬運營商是聯通。被利用發起SSDP反射攻擊的境內反射伺服器數量按省份統計排名前三名的省份是遼寧省、江蘇省和浙江省;數量最多的歸屬運營商是聯通。
4、近兩月,跨域偽造流量來源路由器數量有較明顯的下降。本月轉發偽造跨域攻擊流量的路由器中,歸屬於北京市的路由器參與的攻擊事件數量最多,2018年以來被持續利用的跨域偽造流量來源路由器中,歸屬於北京市、浙江省和上海市路由器數量最多。
5、本月轉發偽造本地攻擊流量的路由器中,歸屬於浙江省電信的路由器參與的攻擊事件數量最多,2018年以來被持續利用的本地偽造流量來源路由器中,歸屬於江蘇省、山東省、河南省和湖南省路由器數量最多。
攻擊資源定義
本報告為2018年8月份的DDoS攻擊資源月度分析報告。圍繞網際網路環境威脅治理問題,基於CNCERT監測的DDoS攻擊事件資料進行抽樣分析,重點對“DDoS攻擊是從哪些網路資源上發起的”這個問題進行分析。主要分析的攻擊資源包括:
1、控制端資源,指用來控制大量的殭屍主機節點向攻擊目標發起DDoS攻擊的木馬或殭屍網路控制端。
2、肉雞資源,指被控制端利用,向攻擊目標發起DDoS攻擊的殭屍主機節點。
3、反射伺服器資源,指能夠被黑客利用發起反射攻擊的伺服器、主機等設施,它們提供的網路服務中,如果存在某些網路服務,不需要進行認證並且具有放大效果,又在網際網路上大量部署(如DNS伺服器,NTP伺服器等),它們就可能成為被利用發起DDoS攻擊的網路資源。
4、跨域偽造流量來源路由器,是指轉發了大量任意偽造IP攻擊流量的路由器。由於我國要求運營商在接入網上進行源地址驗證,因此跨域偽造流量的存在,說明該路由器或其下路由器的源地址驗證配置可能存在缺陷,且該路由器下的網路中存在發動DDoS攻擊的裝置。
5、本地偽造流量來源路由器,是指轉發了大量偽造本區域IP攻擊流量的路由器。說明該路由器下的網路中存在發動DDoS攻擊的裝置。
在本報告中,一次DDoS攻擊事件是指在經驗攻擊週期內,不同的攻擊資源針對固定目標的單個DDoS攻擊,攻擊週期時長不超過24小時。如果相同的攻擊目標被相同的攻擊資源所攻擊,但間隔為24小時或更多,則該事件被認為是兩次攻擊。此外,DDoS攻擊資源及攻擊目標地址均指其IP地址,它們的地理位置由它的IP地址定位得到。
DDoS攻擊資源月度分析
1、控制端資源分析
根據CNCERT抽樣監測資料,2018年8月,利用肉雞發起DDoS攻擊的控制端有367個,其中,48個控制端位於我國境內,319個控制端位於境外。
位於境外的控制端按國家或地區分佈,美國佔的比例最大,佔37.6%,其次是加拿大和丹麥,如圖1所示。
圖1 本月發起DDoS攻擊的境外控制端數量按國家或地區
位於境內的控制端按省份統計,江蘇省佔的比例最大,佔35.7%,其次是浙江省、河南省和廣東省;按運營商統計,電信佔的比例最大,佔72.9%,聯通佔18.8%,如圖2所示。
圖2 本月發起DDoS攻擊的境內控制端數量按省份和運營商分佈
發起攻擊最多的境內控制端前二十名及歸屬如表1所示,主要位於江蘇省。
表1 本月發起攻擊最多的境內控制端TOP20
| 控制端地址 | 歸屬省份 | 歸屬運營商或雲服務商 |
| 222.X.X.232 | 江蘇省 | 電信 |
| 183.X.X.90 | 浙江省 | 電信 |
| 58.X.X.158 | 江蘇省 | 電信 |
| 114.X.X.188 | 北京市 | 電信 |
| 120.X.X.134 | 浙江省 | 阿里雲 |
| 58.X.X.93 | 江蘇省 | 電信 |
| 123.X.X.188 | 貴州省 | 電信 |
| 58.X.X.29 | 江蘇省 | 電信 |
| 125.X.X.3 | 廣東省 | 電信 |
| 222.X.X.216 | 江蘇省 | 電信 |
| 116.X.X.222 | 河南省 | 聯通 |
| 183.X.X.92 | 廣東省 | 電信 |
| 111.X.X.186 | 江西省 | 電信 |
| 115.X.X.164 | 浙江省 | 電信 |
| 42.X.X.114 | 河南省 | 聯通 |
| 222.X.X.34 | 江蘇省 | 電信 |
| 58.X.X.169 | 江蘇省 | 電信 |
| 58.X.X.51 | 江蘇省 | 電信 |
| 58.X.X.5 | 江蘇省 | 電信 |
| 118.X.X.61 | 天津市 | 電信 |
2018年1月至今監測到的控制端中,7.4%的控制端在本月仍處於活躍狀態,共計77個,其中位於我國境內的控制端數量為6個,位於境外的控制端數量為71個。持續活躍的境內控制端及歸屬如表2所示。
表2 2018年以來持續活躍發起DDOS攻擊的境內控制端
| 控制端地址 | 歸屬省份 | 歸屬運營商或雲服務商 |
| 211.X.X.89 | 四川省 | 電信 |
| 222.X.X.34 | 江蘇省 | 電信 |
| 222.X.X.232 | 江蘇省 | 電信 |
| 119.X.X.116 | 廣東省 | 電信 |
| 139.X.X.51 | 上海市 | 阿里雲 |
| 118.X.X.50 | 廣東省 | 電信 |
2、肉雞資源分析
根據CNCERT抽樣監測資料,2018年8月,共有141,704個肉雞地址參與真實地址攻擊(包含真實地址攻擊與其它攻擊的混合攻擊)。
這些肉雞資源按省份統計,浙江省佔的比例最大,為15.4%,其次是山東省、江蘇省和廣東省;按運營商統計,電信佔的比例最大,為52.9%,聯通佔37.6%,移動佔6.6%,如圖3所示。
圖3 本月肉雞地址數量按省份和運營商分佈
本月參與攻擊最多的肉雞地址前二十名及歸屬如表3所示,位於新疆維吾爾自治區和河南省的地址最多。
表3 本月參與攻擊最多的肉雞地址TOP20
| 肉雞地址 | 歸屬省份 | 歸屬運營商 |
| 61.X.X.28 | 甘肅省 | 電信 |
| 60.X.X.174 | 新疆維吾爾族自治區 | 聯通 |
| 61.X.X.114 | 河南省 | 聯通 |
| 61.X.X.66 | 青海省 | 電信 |
| 139.X.X.208 | 北京市 | 待確認 |
| 118.X.X.186 | 甘肅省 | 電信 |
| 175.X.X.131 | 湖南省 | 電信 |
| 58.X.X.114 | 湖南省 | 聯通 |
| 112.X.X.146 | 安徽省 | 聯通 |
| 222.X.X.242 | 貴州省 | 電信 |
| 61.X.X.243 | 內蒙古自治區 | 聯通 |
| 112.X.X.234 | 江蘇省 | 聯通 |
| 219.X.X.97 | 黑龍江省 | 電信 |
| 114.X.X.253 | 北京市 | 待確認 |
| 221.X.X.129 | 內蒙古自治區 | 聯通 |
| 202.X.X.138 | 新疆維吾爾族自治區 | 電信 |
| 111.X.X.69 | 河南省 | 移動 |
| 218.X.X.182 | 河南省 | 聯通 |
| 111.X.X.34 | 北京市 | 聯通 |
| 106.X.X.223 | 新疆維吾爾族自治區 | 電信 |
2018年1月至今監測到的肉雞資源中,共計22,627個肉雞在本月仍處於活躍狀態,其中位於我國境內的肉雞數量為18,935個,位於境外的肉雞數量為3,692個。2018年1月至今被利用發起DDoS攻擊最多的肉雞TOP20及歸屬如表4所示,此持續活躍的肉雞列表資料與上月保持未變。
表4 2018年以來被利用發起DDoS攻擊數量排名TOP20,且在本月持續活躍的肉雞地址
| 肉雞地址 | 歸屬省份 | 歸屬運營商 |
| 61.X.X.28 | 甘肅省 | 電信 |
| 60.X.X.174 | 新疆維吾爾族自治區 | 聯通 |
| 61.X.X.114 | 河南省 | 聯通 |
| 61.X.X.66 | 青海省 | 電信 |
| 139.X.X.208 | 北京市 | 待確認 |
| 118.X.X.186 | 甘肅省 | 電信 |
| 175.X.X.131 | 湖南省 | 電信 |
| 58.X.X.114 | 湖南省 | 聯通 |
| 112.X.X.146 | 安徽省 | 聯通 |
| 222.X.X.242 | 貴州省 | 電信 |
| 61.X.X.243 | 內蒙古自治區 | 聯通 |
| 112.X.X.234 | 江蘇省 | 聯通 |
| 219.X.X.97 | 黑龍江省 | 電信 |
| 114.X.X.253 | 北京市 | 待確認 |
| 221.X.X.129 | 內蒙古自治區 | 聯通 |
| 202.X.X.138 | 新疆維吾爾族自治區 | 電信 |
| 111.X.X.69 | 河南省 | 移動 |
| 218.X.X.182 | 河南省 | 聯通 |
| 111.X.X.34 | 北京市 | 聯通 |
| 106.X.X.223 | 新疆維吾爾族自治區 | 電信 |
2018年1月至今持續活躍的境內肉雞資源按省份統計,江蘇省佔的比例最大,佔17.6%,其次是山東省、廣東省和浙江省;按運營商統計,電信佔的比例最大,佔57.2%,聯通佔24.6%,移動佔11.0%,如圖4所示。
圖4 2018年以來持續活躍的肉雞數量按省份和運營商分佈
3、反射攻擊資源分析
根據CNCERT抽樣監測資料,2018年8月,利用反射伺服器發起的三類重點反射攻擊共涉及3,089,618臺反射伺服器,其中境內反射伺服器2,874,263臺,境外反射伺服器215,355臺。反射攻擊所利用Memcached反射伺服器發起反射攻擊的反射伺服器有9,660臺,佔比0.3%,其中境內反射伺服器9,542臺,境外反射伺服器118臺;利用NTP反射發起反射攻擊的反射伺服器有803,446臺,佔比26.0%,其中境內反射伺服器682,916臺,境外反射伺服器120,530臺;利用SSDP反射發起反射攻擊的反射伺服器有2,276,512臺,佔比73.7%,其中境內反射伺服器2,181,805臺,境外反射伺服器94,707臺。
(1)Memcached反射伺服器資源
Memcached反射攻擊利用了在網際網路上暴露的大批量Memcached伺服器(一種分散式快取系統)存在的認證和設計缺陷,攻擊者通過向Memcached伺服器IP地址的預設埠11211傳送偽造受害者IP地址的特定指令UDP資料包,使Memcached伺服器向受害者IP地址返回比請求資料包大數倍的資料,從而進行反射攻擊。
根據CNCERT抽樣監測資料,2018年8月,利用Memcached伺服器實施反射攻擊的事件共涉及境內9,542臺反射伺服器,境外118臺反射伺服器。本月被利用的Memcached伺服器數量相比上月有明顯下降。
本月境內反射伺服器數量按省份統計,西藏自治區佔的比例最大,佔15.6%,其次是四川省、廣東省和河北省;按歸屬運營商或雲服務商統計,電信佔的比例最大,佔71.1%,移動佔比20.8%,聯通佔比7.7%,如圖5所示。
圖5 本月境內Memcached反射伺服器數量按省份、運營商或雲服務商分佈
本月境外反射伺服器數量按國家或地區統計,美國佔的比例最大,佔83.2%,其次是印度尼西亞、俄羅斯和新加坡,如圖6所示。
圖6 本月境外反射伺服器數量按國家或地區分佈
本月境內發起反射攻擊事件數量TOP100中目前仍存活的Memcached伺服器為位於西藏自治區的伺服器(202.X.X.217)。
近兩月被利用發起攻擊的Memcached反射伺服器中,共計119個在本月仍處於活躍狀態。近兩月被持續利用發起攻擊的Memcached反射伺服器按省份統計,西藏自治區佔的比例最大,佔30.3%,其次是廣東省、上海市和四川省;按運營商或雲服務統計,電信佔的比例最大,佔59.7%,移動佔25.2%,聯通佔10.9%,如圖7所示。
圖7 近兩月被持續利用發起攻擊的Memcached反射伺服器數量按省份運營商或雲服務商分佈
(2)NTP反射伺服器資源
NTP反射攻擊利用了NTP(一種通過網際網路服務於計算機時鐘同步的協議)伺服器存在的協議脆弱性,攻擊者通過向NTP伺服器IP地址的預設埠123傳送偽造受害者IP地址的Monlist指令資料包,使NTP伺服器向受害者IP地址反射返回比原始資料包大數倍的資料,從而進行反射攻擊。
根據CNCERT抽樣監測資料,2018年8月,NTP反射攻擊事件共涉及我國境內682,916臺反射伺服器,境外120,530臺反射伺服器。
本月被利用發起NTP反射攻擊的境內反射伺服器數量按省份統計,山東省佔的比例最大,佔24.4%,其次是湖北省、河南省和河北省;按歸屬運營商統計,聯通佔的比例最大,佔40.1%,移動佔比39.3%,電信佔比20.4%,如圖8所示。
圖8 本月被利用發起NTP反射攻擊的境內反射伺服器數量按省份和運營商分佈
本月被利用發起NTP反射攻擊的境外反射伺服器數量按國家或地區統計,澳大利亞佔的比例最大,佔74.7%,其次是美國、巴基斯坦和印度,如圖9所示。
圖9 本月被利用發起NTP反射攻擊的境外反射伺服器數量按國家或地區分佈
本月被利用發起NTP反射攻擊的境內反射伺服器按被利用發起攻擊數量排名TOP30及歸屬如表5所示,位於山西省的地址最多。
表5 本月境內被利用發起NTP反射攻擊的反射伺服器按涉事件數量TOP30
| 反射伺服器地址 | 歸屬省份 | 歸屬運營商 |
| 222.X.X.199 | 寧夏回族自治區 | 電信 |
| 183.X.X.11 | 山西省 | 移動 |
| 211.X.X.85 | 山西省 | 移動 |
| 111.X.X.245 | 山西省 | 移動 |
| 183.X.X.196 | 山西省 | 移動 |
| 183.X.X.235 | 山西省 | 移動 |
| 183.X.X.85 | 山西省 | 移動 |
| 111.X.X.203 | 山西省 | 移動 |
| 111.X.X.70 | 山西省 | 移動 |
| 183.X.X.219 | 山西省 | 移動 |
| 211.X.X.154 | 山西省 | 移動 |
| 183.X.X.174 | 山西省 | 移動 |
| 183.X.X.195 | 山西省 | 移動 |
| 183.X.X.115 | 山西省 | 移動 |
| 183.X.X.80 | 山西省 | 移動 |
| 183.X.X.10 | 山西省 | 移動 |
| 111.X.X.211 | 山西省 | 移動 |
| 111.X.X.6 | 寧夏回族自治區 | 電信 |
| 218.X.X.169 | 貴州省 | 移動 |
| 61.X.X.226 | 寧夏回族自治區 | 電信 |
| 211.X.X.114 | 山西省 | 移動 |
| 183.X.X.218 | 山西省 | 移動 |
| 111.X.X.208 | 山西省 | 移動 |
| 119.X.X.140 | 寧夏回族自治區 | 電信 |
| 211.X.X.180 | 山西省 | 移動 |
| 183.X.X.92 | 山西省 | 移動 |
| 183.X.X.173 | 山西省 | 移動 |
| 183.X.X.203 | 山西省 | 移動 |
| 183.X.X.52 | 山西省 | 移動 |
| 123.X.X.206 | 湖北省 | 移動 |
近兩月被持續利用發起攻擊的NTP反射伺服器中,共計241,806個在本月仍處於活躍狀態,其中211,714個位於境內,30,092個位於境外。持續活躍的NTP反射伺服器按省份統計,湖北省佔的比例最大,佔47.3%,其次是山東省、河北省和河南省;按運營商統計,聯通佔的比例最大,佔48.3%,移動佔31.2%,電信佔20.1%,如圖10所示。
圖10 近兩月被持續利用發起攻擊的NTP反射伺服器數量按省份運營商分佈
(3)SSDP反射伺服器資源
SSDP反射攻擊利用了SSDP(一種應用層協議,是構成通用即插即用(UPnP)技術的核心協議之一)伺服器存在的協議脆弱性,攻擊者通過向SSDP伺服器IP地址的預設埠1900傳送偽造受害者IP地址的查詢請求,使SSDP伺服器向受害者IP地址反射返回比原始資料包大數倍的應答資料包,從而進行反射攻擊。
根據CNCERT抽樣監測資料,2018年8月,SSDP反射攻擊事件共涉及境內2,181,805臺反射伺服器,境外94,707臺反射伺服器。
本月被利用發起SSDP反射攻擊的境內反射伺服器數量按省份統計,遼寧省佔的比例最大,佔20.5%,其次是江蘇省、浙江省和廣東省;按歸屬運營商統計,聯通佔的比例最大,佔53.7%,電信佔比43.3%,移動佔比2.7%,如圖11所示。
圖11 本月被利用發起SSDP反射攻擊的境內反射伺服器數量按省份和運營商分佈
本月被利用發起SSDP反射攻擊的境外反射伺服器數量按國家或地區統計,美國佔的比例最大,佔29.9%,其次是中國臺灣、加拿大和韓國,如圖12所示。
圖12 本月被利用發起SSDP反射攻擊的境外反射伺服器數量按國家或地區或地區分佈
本月被利用發起SSDP反射攻擊的境內反射伺服器按被利用發起攻擊數量排名TOP30的反射伺服器及歸屬如表6所示,位於黑龍江省的地址最多。
表6 本月境內被利用發起SSDP反射攻擊事件數量中排名TOP30的反射伺服器
| 反射伺服器地址 | 歸屬省份 | 歸屬運營商 |
| 218.X.X.30 | 新疆維吾爾族自治區 | 移動 |
| 218.X.X.70 | 新疆維吾爾族自治區 | 移動 |
| 218.X.X.90 | 寧夏回族自治區 | 電信 |
| 111.X.X.2 | 黑龍江省 | 移動 |
| 59.X.X.198 | 山西省 | 電信 |
| 111.X.X.69 | 寧夏回族自治區 | 移動 |
| 218.X.X.156 | 寧夏回族自治區 | 移動 |
| 61.X.X.118 | 陝西省 | 電信 |
| 117.X.X.196 | 新疆維吾爾族自治區 | 移動 |
| 222.X.X.209 | 雲南省 | 電信 |
| 111.X.X.6 | 黑龍江省 | 移動 |
| 111.X.X.5 | 湖北省 | 移動 |
| 112.X.X.50 | 雲南省 | 電信 |
| 111.X.X.25 | 黑龍江省 | 移動 |
| 117.X.X.249 | 新疆維吾爾族自治區 | 移動 |
| 117.X.X.98 | 新疆維吾爾族自治區 | 移動 |
| 113.X.X.118 | 陝西省 | 電信 |
| 111.X.X.139 | 黑龍江省 | 移動 |
| 111.X.X.75 | 黑龍江省 | 移動 |
| 111.X.X.215 | 黑龍江省 | 移動 |
| 119.X.X.178 | 寧夏回族自治區 | 電信 |
| 111.X.X.125 | 黑龍江省 | 移動 |
| 111.X.X.127 | 黑龍江省 | 移動 |
| 111.X.X.157 | 黑龍江省 | 移動 |
| 112.X.X.3 | 雲南省 | 電信 |
| 111.X.X.108 | 黑龍江省 | 移動 |
| 111.X.X.178 | 黑龍江省 | 移動 |
| 120.X.X.234 | 新疆維吾爾族自治區 | 電信 |
| 113.X.X.22 | 陝西省 | 電信 |
| 219.X.X.126 | 陝西省 | 電信 |
近兩月被持續利用發起攻擊的SSDP反射伺服器中,共計546,364個在本月仍處於活躍狀態,其中490,173個位於境內,56,191個位於境外。近兩月持續活躍的參與大量攻擊事件的SSDP反射伺服器按省份統計,遼寧省佔的比例最大,佔26.2%,其次是江蘇省、浙江省和廣東省;按運營商統計,聯通佔的比例最大,佔59.1%,電信佔37.4%,移動佔3.2%,如圖13所示。
圖13 近兩月被持續利用發起攻擊的SSDP反射伺服器數量按省份運營商分佈
(4)發起偽造流量的路由器分析
1. 跨域偽造流量來源路由器
根據CNCERT抽樣監測資料,2018年8月,通過跨域偽造流量發起攻擊的流量來源於91個路由器。近兩月,跨域偽造流量來源路由器數量有較明顯的下降。根據參與攻擊事件的數量統計,歸屬於北京市的路由器(150.X.X.1、150.X.X.2)參與的攻擊事件數量最多,其次是歸屬於上海市電信(124.X.X.250)的路由器,如表7所示。
表7 本月參與攻擊最多的跨域偽造流量來源路由器TOP25
| 跨域偽造流量來源路由器 | 歸屬省份 | 歸屬運營商 |
| 150.X.X.1 | 北京市 | 待確認 |
| 150.X.X.2 | 北京市 | 待確認 |
| 124.X.X.250 | 上海市 | 電信 |
| 218.X.X.101 | 內蒙古自治區 | 聯通 |
| 140.X.X.1 | 北京市 | 待確認 |
| 140.X.X.2 | 北京市 | 待確認 |
| 124.X.X.1 | 上海市 | 電信 |
| 202.X.X.24 | 上海市 | 電信 |
| 202.X.X.118 | 天津市 | 待確認 |
| 222.X.X.200 | 北京市 | 待確認 |
| 202.X.X.17 | 上海市 | 電信 |
| 219.X.X.70 | 北京市 | 電信 |
| 202.X.X.23 | 上海市 | 電信 |
| 202.X.X.21 | 上海市 | 電信 |
| 202.X.X.116 | 天津市 | 待確認 |
| 124.X.X.202 | 上海市 | 電信 |
| 124.X.X.201 | 上海市 | 電信 |
| 222.X.X.180 | 上海市 | 電信 |
| 202.X.X.137 | 浙江省 | 電信 |
| 150.X.X.1 | 北京市 | 待確認 |
| 150.X.X.2 | 北京市 | 待確認 |
| 118.X.X.168 | 四川省 | 電信 |
| 221.X.X.1 | 天津市 | 電信 |
| 118.X.X.169 | 四川省 | 電信 |
| 202.X.X.222 | 四川省 | 待確認 |
跨域偽造流量涉及路由器按省份分佈統計,北京市佔的比例最大,佔31.9%,其次是浙江省和上海市;按路由器所屬運營商統計,電信佔的比例最大,佔33.0%,移動佔比20.9%,聯通佔比16.5%,如圖14所示。
圖14 跨域偽造流量來源路由器數量按省份和運營商分佈
2018年度被持續利用轉發DDoS攻擊的跨域偽造流量來源路由器中,監測發現有66個在本月仍活躍,存活率為16.7%。按省份分佈統計,北京市佔的比例最大,佔31.8%,其次是浙江省和上海市;按路由器所屬運營商統計,電信佔的比例最大,佔36.8%,移動佔比23.5%,聯通佔比22.1%,如圖15所示。
圖15 2018年被持續利用轉發跨域偽造攻擊流量本月仍活躍路由器數量按省份和運營商分佈
2. 本地偽造流量來源路由器
根據CNCERT抽樣監測資料,2018年8月,通過本地偽造流量發起攻擊的流量來源於189個路由器。根據參與攻擊事件的數量統計,歸屬於浙江省電信的路由器(61.X.X.8、61.X.X.4、220.X.X.127、220.X.X.126、202.X.X.136)參與的攻擊事件數量最多,其次是歸屬於貴州省移動的路由器(211.X.X.9),如表8所示。
表8 本月參與攻擊最多的本地偽造流量來源路由器TOP25
| 本地偽造流量來源路由器 | 歸屬省份 | 歸屬運營商 |
| 61.X.X.8 | 浙江省 | 電信 |
| 61.X.X.4 | 浙江省 | 電信 |
| 220.X.X.127 | 浙江省 | 電信 |
| 220.X.X.126 | 浙江省 | 電信 |
| 202.X.X.136 | 浙江省 | 電信 |
| 211.X.X.9 | 貴州省 | 移動 |
| 202.X.X.137 | 浙江省 | 電信 |
| 211.X.X.10 | 貴州省 | 移動 |
| 211.X.X.19 | 貴州省 | 移動 |
| 211.X.X.20 | 貴州省 | 移動 |
| 118.X.X.168 | 四川省 | 電信 |
| 118.X.X.169 | 四川省 | 電信 |
| 202.X.X.204 | 寧夏回族自治區 | 電信 |
| 202.X.X.205 | 寧夏回族自治區 | 電信 |
| 202.X.X.200 | 寧夏回族自治區 | 待確認 |
| 202.X.X.202 | 寧夏回族自治區 | 待確認 |
| 218.X.X.130 | 四川省 | 電信 |
| 218.X.X.129 | 四川省 | 電信 |
| 202.X.X.167 | 山東省 | 電信 |
| 202.X.X.165 | 山東省 | 電信 |
| 124.X.X.122 | 陝西省 | 電信 |
| 220.X.X.253 | 北京市 | 電信 |
| 220.X.X.243 | 北京市 | 電信 |
| 140.X.X.2 | 山東省 | 待確認 |
| 140.X.X.1 | 山東省 | 待確認 |
本月本地偽造流量涉及路由器按省份分佈,江蘇省佔的比例最大,佔10.7%,其次是山東省、河南省和湖南省;按路由器所屬運營商統計,電信佔的比例最大,佔47.4%,移動佔比24.5%,聯通佔比13.8%,如圖16所示。
圖16 本地偽造流量來源路由器數量按省份和運營商分佈
2018年被持續利用轉發本地偽造流量DDoS攻擊的路由器中,監測發現有153個在本月仍活躍,存活率為19.0%。按省份統計,江蘇省佔的比例最大,佔16.8%,其次是浙江省、北京市和四川省;按路由器所屬運營商統計,電信佔的比例最大,佔54.4%,移動佔比28.8%,聯通佔比12.5%,如圖17所示。
圖17 2018年被持續利用且本月仍活躍的本地偽造流量來源路由器數量按省份運營商分佈
PDF版本:http://www.cert.org.cn/publish/main/upload/File/20180917%20%20DDoS.pdf
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。