一、引言

近期，CNCERT深度分析了我國大陸地區(qū)發(fā)生的數(shù)千起DDoS（分布式拒絕服務(wù)）攻擊事件。本報告圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問題，對“DDoS攻擊是從哪些網(wǎng)絡(luò)資源上發(fā)起的”這個問題進(jìn)行分析。主要分析的攻擊資源包括：

1、控制端資源，指用來控制大量的僵尸主機(jī)節(jié)點(diǎn)向攻擊目標(biāo)發(fā)起DDoS攻擊的木馬或僵尸網(wǎng)絡(luò)控制端。

2、肉雞資源，指被控制端利用，向攻擊目標(biāo)發(fā)起DDoS攻擊的僵尸主機(jī)節(jié)點(diǎn)。

3、反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機(jī)等設(shè)施，它們提供的網(wǎng)絡(luò)服務(wù)中，如果存在某些網(wǎng)絡(luò)服務(wù)，不需要進(jìn)行認(rèn)證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署（如DNS服務(wù)器，NTP服務(wù)器等），它們就可能成為被利用發(fā)起DDoS攻擊的網(wǎng)絡(luò)資源。

4、反射攻擊流量來源路由器是指轉(zhuǎn)發(fā)了大量反射攻擊發(fā)起流量的運(yùn)營商路由器。由于反射攻擊發(fā)起流量需要偽造IP地址，因此反射攻擊流量來源路由器本質(zhì)上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由于反射攻擊形式特殊，本報告將反射攻擊流量來源路由器單獨(dú)統(tǒng)計。

5、跨域偽造流量來源路由器，是指轉(zhuǎn)發(fā)了大量任意偽造IP攻擊流量的路由器。由于我國要求運(yùn)營商在接入網(wǎng)上進(jìn)行源地址驗(yàn)證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗(yàn)證配置可能存在缺陷。且該路由器下的網(wǎng)絡(luò)中存在發(fā)動DDoS攻擊的設(shè)備。

6、本地偽造流量來源路由器，是指轉(zhuǎn)發(fā)了大量偽造本區(qū)域IP攻擊流量的路由器。說明該路由器下的網(wǎng)絡(luò)中存在發(fā)動DDoS攻擊的設(shè)備。

在本報告中，一次DDoS攻擊事件是指在經(jīng)驗(yàn)攻擊周期內(nèi)，不同的攻擊資源針對固定目標(biāo)的單個DDoS攻擊，攻擊周期時長不超過24小時。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊，但間隔為24小時或更多，則該事件被認(rèn)為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

二、DDOS攻擊資源分析

（一）控制端資源分析

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，今年以來，利用肉雞發(fā)起DDoS攻擊的控制端總量為25,532個。發(fā)起的攻擊次數(shù)呈現(xiàn)冪律分布，如圖1所示。平均每個控制端發(fā)起過7.7次攻擊。

圖1 控制端利用肉雞發(fā)起DDoS攻擊的事件次數(shù)呈冪律分布

位于境外的控制端按國家或地區(qū)分布，美國占的比例最大，占10.1%；其次是韓國和中國臺灣，如圖2所示。

圖2 發(fā)起DDoS攻擊的境外控制端數(shù)量按國家或地區(qū)TOP30

位于境內(nèi)的控制端按省份統(tǒng)計，廣東省占的比例最大，占12.2%；其次是江蘇省、四川省和浙江省，如圖3所示。

控制端發(fā)起攻擊的天次總體呈現(xiàn)冪律分布，如圖4所示。平均每個控制端在1.51天被嘗試發(fā)起了DDoS攻擊，最多的控制端在119天范圍內(nèi)發(fā)起了攻擊，占總監(jiān)測天數(shù)的五分之二。

圖4 控制端嘗試發(fā)起攻擊天次呈現(xiàn)冪律分布

控制端嘗試發(fā)起攻擊的月次情況如表1所示。平均每個控制端在今年的1.19個月發(fā)起了DDoS攻擊，有3個控制端地址在至少連續(xù)7個月次持續(xù)發(fā)起攻擊。

表1 控制端發(fā)起攻擊月次情況

　　（二）肉雞資源分析

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，利用真實(shí)肉雞地址直接攻擊（包含直接攻擊與其它攻擊的混合攻擊）的DDoS攻擊事件占事件總量的80%。其中，共有751,341個真實(shí)肉雞地址參與攻擊，涉及193,723個IP地址C段。肉雞地址參與攻擊的次數(shù)總體呈現(xiàn)冪律分布，如圖5所示，平均每個肉雞地址參與2.13次攻擊。

圖5 肉雞地址參與攻擊次數(shù)呈現(xiàn)冪律分布

參與攻擊最多的肉雞地址為歸屬于山西省運(yùn)城市聞喜縣聯(lián)通的某地址，共參與了690次攻擊。其次是歸屬于安徽省銅陵市銅官區(qū)聯(lián)通的某地址，共參與了482次攻擊；以及歸屬于貴州省貴陽市云巖區(qū)聯(lián)通的某地址，共參與了479次攻擊。

這些肉雞按境內(nèi)省份統(tǒng)計，北京占的比例最大，占9%；其次是山西省、重慶市和浙江省，如圖6所示。按運(yùn)營商統(tǒng)計，電信占的比例最大，占49.3%，移動占23.4%，聯(lián)通占21.8%，如圖7所示。

圖6 肉雞地址數(shù)量按省份分布

圖7 肉雞地址數(shù)量按運(yùn)營商分布

肉雞資源參與攻擊的天次總體呈現(xiàn)冪律分布，如圖8所示。平均每個肉雞資源在1.51天被利用發(fā)起了DDoS攻擊，最多的肉雞資源在145天范圍內(nèi)被利用發(fā)起攻擊，占總監(jiān)測天數(shù)的五分之三。

圖8 肉雞參與攻擊天次呈現(xiàn)冪律分布

肉雞資源參與攻擊的月次總體情況如表2所示。平均每個肉雞資源在今年的1.11個月被利用發(fā)起了DDoS攻擊，有271個肉雞地址在連續(xù)8個月次被利用發(fā)起攻擊，也就是說，這些肉雞資源在監(jiān)測月份中每個月都被利用以發(fā)起DDoS攻擊，沒有得到有效的清理處置。

表2肉雞參與攻擊月次情況

　　（三）反射攻擊資源分析

1．反射服務(wù)器資源

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，利用反射服務(wù)器發(fā)起的反射攻擊的DDoS攻擊事件占事件總量的25%，其中，共涉及251,828臺反射服務(wù)器，反射服務(wù)器被利用以攻擊的次數(shù)呈現(xiàn)冪律分布，如圖9所示，平均每臺反射服務(wù)器參與1.76次攻擊。

圖9 反射服務(wù)器被利用攻擊次數(shù)呈現(xiàn)冪律分布

被利用最多發(fā)起反射放大攻擊的服務(wù)器歸屬于新疆伊犁哈薩克自治州伊寧市移動，共參與了148次攻擊。其次，是歸屬于新疆昌吉回族自治州阜康市移動的某地址，共參與了123次攻擊；以及歸屬于新疆阿勒泰地區(qū)阿勒泰市聯(lián)通的某地址，共參與了119次攻擊。

反射服務(wù)器被利用發(fā)起攻擊的天次總體呈現(xiàn)冪律分布，如圖10所示。平均每個反射服務(wù)器在1.38天被利用發(fā)起了DDoS攻擊，最多的反射服務(wù)器在65天范圍內(nèi)被利用發(fā)起攻擊，近占監(jiān)測總天數(shù)的三分之一。

圖10 反射服務(wù)器參與攻擊天次呈現(xiàn)冪律分布

反射服務(wù)器被利用發(fā)起攻擊的月次情況如表3所示。平均每個反射服務(wù)器在今年的1.1個月被利用發(fā)起了DDoS攻擊，有101個反射服務(wù)器在8個月次連續(xù)被利用發(fā)起攻擊，也就是說，這些反射器在監(jiān)測月份中每個月都被利用以發(fā)起DDoS攻擊。

表3 反射服務(wù)器參與攻擊月次情況

反射攻擊所利用的服務(wù)端口根據(jù)反射服務(wù)器數(shù)量統(tǒng)計、以及按發(fā)起反射攻擊事件數(shù)量統(tǒng)計，被利用最多的均為1900端口。被利用發(fā)起攻擊的反射服務(wù)器中，93.8%曾通過1900號端口發(fā)起反射放大攻擊，占反射攻擊事件總量的75.6%。如圖11所示。

根據(jù)反射服務(wù)器數(shù)量按省份統(tǒng)計，新疆占的比例最大，占18.7%；其次是山東省、遼寧省和內(nèi)蒙古，如圖12所示。按運(yùn)營商統(tǒng)計，聯(lián)通占的比例最大，占47%，電信占比27%，移動占比23.2%，如圖13所示。

圖12 反射服務(wù)器數(shù)量按省份分布

圖13 反射服務(wù)器數(shù)量按運(yùn)營商分布

2．反射攻擊流量來源路由器

境內(nèi)反射攻擊流量主要來源于412個路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，歸屬于國際口的某路由器發(fā)起的攻擊事件最多，為227件，其次是歸屬于河北省、北京市、以及天津的路由器，如圖14所示。

圖14 發(fā)起反射放大攻擊事件的流量來源路由器按事件TOP25

根據(jù)發(fā)起反射攻擊事件的來源路由器數(shù)量按省份統(tǒng)計，北京市占的比例最大，占10.2%；其次是山東省、廣東省和遼寧省，如圖15所示。按發(fā)起反射攻擊事件的來源運(yùn)營商統(tǒng)計，聯(lián)通占的比例最大，占45.1%，電信占比36.4%，移動占比18.5%，如圖16所示。

圖15 反射攻擊流量來源路由器數(shù)量按省分布

圖16 反射攻擊流量來源路由器數(shù)量按運(yùn)營商分布

（四）發(fā)起偽造流量的路由器分

1.跨域偽造流量來源路由器

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，包含跨域偽造流量的DDoS攻擊事件占事件總量的49.8%，通過跨域偽造流量發(fā)起攻擊的流量來源于379個路由器。根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，歸屬于吉林省聯(lián)通的路由器參與的攻擊事件數(shù)量最多，均參與了326件，其次是歸屬于安徽省電信的路由器，如圖17所示。

圖17 跨域偽造流量來源路由器按參與事件數(shù)量TOP25

發(fā)起跨域偽造流量的路由器參與發(fā)起攻擊的天次總體呈現(xiàn)冪律分布，如圖18所示。平均每個路由器在15.5天被發(fā)現(xiàn)發(fā)起跨域偽造地址流量攻擊，最多的路由器在105天范圍內(nèi)被發(fā)現(xiàn)發(fā)起跨域攻擊流量，近占監(jiān)測總天數(shù)的二分之一。

圖18 跨域偽造流量來源路由器參與攻擊天次呈現(xiàn)冪律分布

發(fā)起跨域偽造流量的路由器參與發(fā)起攻擊的月次情況如表4所示。平均每個路由器在2.7個月次被發(fā)現(xiàn)發(fā)起跨域偽造地址流量攻擊，14個路由器在連續(xù)8個月內(nèi)被發(fā)現(xiàn)發(fā)起跨域攻擊流量，也就是說，這些路由器長期多次地被利用發(fā)起跨域偽造流量攻擊。

表4跨域偽造流量來源路由器參與攻擊月次情況

跨區(qū)域偽造流量涉及路由器按省份分布統(tǒng)計如圖19所示，其中，北京市占的比例最大，占13.2%；其次是江蘇省、山東省、及廣東省。按路由器所屬運(yùn)營商統(tǒng)計，聯(lián)通占的比例最大，占46.7%，電信占比30.6%，移動占比22.7%，如圖20所示。

圖19 跨域偽造流量來源路由器數(shù)量按省分布

圖20 跨域偽造流量來源路由器數(shù)量按運(yùn)營商分布

2.本地偽造流量來源路由器

根據(jù)CNCERT監(jiān)測數(shù)據(jù)，包含本地偽造流量的DDoS攻擊事件占事件總量的51.3%，通過本地偽造流量發(fā)起攻擊的流量來源于725個路由器。根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，歸屬于安徽省電信的路由器參與的攻擊事件數(shù)量最多，最多參與了424件，其次是歸屬于陜西省電信的路由器，如圖21所示。

圖21 本地偽造流量來源路由器按參與事件數(shù)量TOP25

發(fā)起本地偽造流量的路由器參與發(fā)起攻擊的天次總體呈現(xiàn)冪律分布，如圖22所示。平均每個路由器在18.3天被發(fā)現(xiàn)發(fā)起跨域偽造地址流量攻擊，最多的路由器在123天范圍內(nèi)被發(fā)現(xiàn)發(fā)起跨域攻擊流量，占監(jiān)測總天數(shù)的二分之一。

圖22 本地偽造流量來源路由器參與攻擊天次呈現(xiàn)冪律分布

發(fā)起本地偽造流量的路由器參與發(fā)起攻擊的月次總體情況如表5所示。平均每個路由器在3.1個月次被發(fā)現(xiàn)發(fā)起本地偽造地址流量攻擊，26個路由器在連續(xù)8個月內(nèi)被發(fā)現(xiàn)發(fā)起本地攻擊流量，也就是說，這些路由器長期多次地被利用發(fā)起本地偽造流量攻擊，主要集中在湖北省及江西省。

表5本地偽造流量來源路由器參與攻擊月次情況

本地偽造流量涉及路由器按省份分布統(tǒng)計如圖23所示。其中，江蘇省占的比例最大，占8.7%；其次是北京市、河南省、及廣東省。按路由器所屬運(yùn)營商統(tǒng)計，電信占的比例最大，占54.2%，如圖24所示。

圖23本地偽造流量來源路由器數(shù)量按省分布

圖24本地偽造流量來源路由器數(shù)量按運(yùn)營商分布