国家计算机网络应急技术处理协调中心：我国DDoS攻击资源分析报告（2021年第4季度）（22页）.pdf

1、 我国 DDoS 攻击资源分析报告 (2021 年第 4 季度) 国家计算机网络应急技术处理协调中心 2022 年 3 月 CNCERT 我国 DDoS 攻击资源分析报告（2021 年第 4 季度） 2/ 22 目 录 一、引言 . 3 （一）攻击资源定义 . 3 （二）本季度重点关注情况 . 4 二、DDoS 攻击资源分析 . 5 （一）控制端资源分析 . 5 （二）肉鸡资源分析 . 8 （三）反射攻击资源分析 . 11 （1）SSDP 反射服务器资源 . 11 （2）NTP 反射服务器资源 . 14 （3）Memcached 反射服务器资源 . 16 （四）转发伪造流量的路由器分析 . 2

2、0 （1）跨域伪造流量来源路由器 . 20 （2）本地伪造流量来源路由器 . 21 RZlWpXcXjWvVeX0VdU7N8Q6MoMrRtRnPkPpPtQeRsQoN7NpPwPMYrNoNxNnQoPCNCERT CNCERT 我国 DDoS 攻击资源分析报告（2021 年第 4 季度） 3/ 22 一、引言 （一）攻击资源定义 本报告为 2021 年第 4 季度的 DDoS 攻击资源分析报告。围绕互联网环境威胁治理问题，基于 CNCERT 监测的 DDoS攻击事件数据进行抽样分析，重点对“DDoS 攻击是从哪些网络资源上发起的” 这个问题进行分析。 主要分析的攻击资源包括： 1、 控

3、制端资源， 指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源， 指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如 DNS 服务器，NTP 服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署， 从而成为被利用发起 DDoS 反射攻击的网络资源。 4、 跨域伪造流量来源路由器， 是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证， 因此跨域伪造流量的存在， 说明该路由器或其下路由器的源地址验证

4、配置可能存在缺陷， 且该路由器下的网络中存在发动 DDoS 攻击的设备。 CNCERT 我国 DDoS 攻击资源分析报告（2021 年第 4 季度） 4/ 22 5、 本地伪造流量来源路由器， 是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内， 不同的攻击资源针对固定目标的单个 DDoS 攻击， 攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。 此外， DDoS 攻击资源及攻击目标地址均指其 IP 地址，

5、它们的地理位置由它的 IP 地址定位得到。 （二）本季度重点关注情况 1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、荷兰和德国；境内控制端按省份统计，最多位于北京市、山东省和福建省，按归属运营商统计， 电信占比最大， 境内活跃控制端数量相比第 3 季度有所增加。 2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于山东省、浙江省和重庆市；按归属运营商统计，联通占比最大。 3、本季度被利用参与 SSDP 反射攻击的活跃境内反射服务器中， 按省份统计排名前三名的省份是浙江省、 辽宁省和广东省，数量最多的归属运营商是电信。本季度被利用参与 NTCNCERT 我

6、国 DDoS 攻击资源分析报告（2021 年第 4 季度） 5/ 22 P 反射攻击的活跃境内反射服务器中， 按省份统计排名前三名的省份是湖北省、 浙江省和河南省， 数量最多的归属运营商是电信。本季度被利用参与 Memcached 反射攻击的活跃境内反射服务器中， 按省份统计排名前三名的省份是广东省、 山东省、和河北省， 数量最多的归属运营商是移动。 本季度被利用参与SSDP 反射攻击的反射服务器最多。 4、本季度转发伪造跨域攻击流量的路由器中，位于北京市、 陕西省和甘肃省的路由器数量最多。 本季度转发伪造本地攻击流量的路由器中， 位于湖南省、 河南省和江苏省的路由器数量最多。 二、DDoS