《CNCERT：2020年第3季度我国DDoS攻击资源分析报告（20页）.pdf》由会员分享，可在线阅读，更多相关《CNCERT：2020年第3季度我国DDoS攻击资源分析报告（20页）.pdf（20页珍藏版）》请在三个皮匠报告上搜索。

1、 我国 DDoS 攻击资源分析报告 (2020 年第 3 季度) 国家计算机网络应急技术处理协调中心 2020 年 11 月 CNCERT 我国 DDoS 攻击资源分析报告（2020 年第 3 季度） 2/ 20 目 录 一、引言. 3 （一）攻击资源定义. 3 （二）本季度重点关注情况. 4 二、DDoS 攻击资源分析. 5 （一）控制端资源分析. 5 （二）肉鸡资源分析. 7 （三）反射攻击资源分析. 10 （1）Memcached 反射服务器资源 . 10 （2）NTP 反射服务器资源 . 12 （3）SSDP 反射服务器资源 . 14 （四）转发伪造流量的路由器分析. 17 （1）跨域

2、伪造流量来源路由器 . 17 （2）本地伪造流量来源路由器 . 19 CNCERT CNCERT 我国 DDoS 攻击资源分析报告（2020 年第 3 季度） 3/ 20 一、引言 （一）攻击资源定义 本报告为 2020 年第 3 季度的 DDoS 攻击资源分析报告。围绕互联网环境威胁治理问题，基于 CNCERT 监测的 DDoS攻击事件数据进行抽样分析，重点对“DDoS 攻击是从哪些网络资源上发起的” 这个问题进行分析。 主要分析的攻击资源包括： 1、 控制端资源， 指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起

3、DDoS攻击的僵尸主机节点。 3、 反射服务器资源， 指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如 DNS 服务器，NTP 服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署， 从而成为被利用发起 DDoS 反射攻击的网络资源。 4、 跨域伪造流量来源路由器， 是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证， 因此跨域伪造流量的存在， 说明该路由器或其下路由器的源地址验证配置可能存在缺陷， 且该路由器下的网络中存在发动 DDoS 攻击的设备。 CNCERT 我国 DDoS 攻击资源分析报告（2020 年第

4、3 季度） 4/ 20 5、 本地伪造流量来源路由器， 是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中， 一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击， 攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击， 但间隔为 24 小时或更多， 则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地理位置由它的 IP 地址定位得到。 （二）本季度重点关注情况 1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计

5、，最多位于美国、德国和荷兰；境内控制端按省份统计，最多位于上海市、江苏省和北京市，按归属运营商统计，使用 BGP 多线的控制端数量最多。 2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于江苏省、安徽省和广东省；按归属运营商统计，电信占比最大。 3、 本季度被利用参与 Memcached 反射攻击的活跃境内反射服务器中， 按省份统计排名前三名的省份是广东省、 河北省、和四川省；数量最多的归属运营商是电信。被利用参与 NTP反射攻击的活跃境内反射服务器中， 按省份统计排名前三名的CNCERT 我国 DDoS 攻击资源分析报告（2020 年第 3 季度） 5/ 20 省份是河北省、 河南省和山

6、东省； 数量最多的归属运营商是联通。被利用参与 SSDP 反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、 辽宁省和广东省； 数量最多的归属运营商是联通。 4、本季度转发伪造跨域攻击流量的路由器中，位于浙江省、 上海市和江苏省的路由器数量最多。 本季度转发伪造本地攻击流量的路由器中， 位于江苏省、 湖南省和江西省的路由器数量最多。 二、DDoS 攻击资源分析 （一）控制端资源分析 2020 年第 3 季度 CNCERT/CC 监测发现，利用肉鸡发起DDoS 攻击的活跃控制端有 1194 个，其中境外控制端占比 96.3%、云平台控制端占比 75.5%，如图 1 所示，与 2