CNCERT 2018年2月我國DDoS攻擊資源分析報告

姜鵬

1.本月利用memcached服務器實施反射攻擊的事件大幅上升，自2月21日開始在我國境內尤為活躍。2月被利用發起memcached反射攻擊境內反射服務器數量按省份統計排名前三名的省份是廣東省、浙江省和北京市；數量最多的歸屬云服務商是阿里云。反射攻擊發起流量來源路由器根據轉發攻擊事件的數量統計，最多的路由器歸屬于安徽省移動、上海市移動、和北京市電信。

2. 2月被利用發起NTP反射攻擊的境內反射服務器數量按省份統計排名前三名的省份是河南省、北京市和河北省；數量最多的歸屬運營商是聯通。反射攻擊發起流量來源路由器根據轉發攻擊事件的數量統計，最多的路由器歸屬于遼寧省電信、浙江省電信和浙江省聯通。

3. 2月被利用發起SSDP反射攻擊的境內反射服務器數量按省份統計排名前三名的省份是山東省、遼寧省和河北省；數量最多的歸屬運營商是聯通。而反射攻擊發起流量來源路由器根據轉發攻擊事件的數量統計，最多的路由器歸屬于北京市電信、天津市電信和遼寧省移動。

攻擊資源定義

近日，利用memcached服務器實施反射DDoS攻擊的事件大幅上升。CNCERT對三類重點反射攻擊事件進行了集中監測和分析，本報告為2018年2月份的反射攻擊資源專項分析報告。圍繞互聯網環境威脅治理問題，重點對“被利用發起DDoS反射攻擊的重要網絡資源有哪些”這個問題進行分析。

反射攻擊的網絡資源包括：

1.反射服務器資源，指能夠被黑客利用發起反射攻擊的服務器、主機等設施，它們提供的網絡服務中，如果存在某些網絡服務，不需要進行認證并且具有放大效果，又在互聯網上大量部署（如DNS服務器，NTP服務器等），它們就可能成為被利用發起DDoS攻擊的網絡資源。

2.反射攻擊發起流量來源路由器，指轉發了大量反射攻擊發起流量的運營商路由器。由于反射攻擊發起流量需要偽造IP地址，因此反射攻擊發起流量來源路由器本質上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由于反射攻擊形式特殊，本報告將反射攻擊發起流量來源路由器單獨統計。

在報告中，一次DDoS攻擊事件是指在經驗攻擊周期內，不同的攻擊資源針對固定目標的單個DDoS攻擊，攻擊周期時長不超過24小時。如果相同的攻擊目標被相同的攻擊資源所攻擊，但間隔為24小時或更多，則該事件被認為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

反射攻擊資源總情況分析

1.反射服務器資源分析

根據CNCERT抽樣監測數據，2018年2月，利用反射服務器發起的三類重點反射攻擊共涉及2 252 085臺反射服務器，其中境內反射服務器1 804 807臺，境外反射服務器447 278臺。反射攻擊所利用memcached反射服務器發起反射攻擊的反射服務器有45 412臺，占比2.0%，其中境內反射服務器16 594臺，境外反射服務器28 818臺；利用NTP反射發起反射攻擊的反射服務器有32 693臺，占比1.5%，其中境內反射服務器3 806臺，境外反射服務器28 887臺；利用SSDP反射發起反射攻擊的反射服務器有2 173 980臺，占96.5%，其中境內反射服務器1 784 407臺，境外反射服務器389 573臺。

三種重點反射攻擊類型根據所利用的反射服務器數量統計，占比最多的是SSDP反射攻擊，占96.5%；根據攻擊事件數量統計，占比最多的也是SSDP反射攻擊，占51.9%。

2. memchache反射服務器反射攻擊資源分析

（1）反射服務器資源

Memcached反射攻擊利用了在互聯網上暴露的大批量memcached服務器（一種分布式緩存系統）存在的認證和設計缺陷，攻擊者通過向memcached服務器IP地址的默認端口11211發送偽造受害者IP地址的特定指令UDP數據包，使memcached服務器向受害者IP地址返回比請求數據包大數倍的數據，從而進行反射攻擊。

根據CNCERT抽樣監測數據，2018年2月，利用memcached服務器實施反射攻擊的事件共涉及境內16 594臺反射服務器，境外28 818臺反射服務器。本月此類事件涉及的反射服務器數量趨勢圖，比照后發現自2月21日開始被利用發起攻擊的反射服務器數量上升明顯。

2月境內反射服務器數量按省份統計，廣東省占的比例最大，占24.1%，其次是浙江省、北京市和山東省；按歸屬運營商或云服務商統計，阿里云占的比例最大，占35.9%，電信占比31.3%，聯通占比11.7%，移動占比8.2%。

本月境外反射服務器數量按國家或地區統計，美國占的比例最大，占29.8%，其次是日本、法國和俄羅斯。

為防止memchached反射攻擊事件蔓延，CNCERT從事件爆發開始，密切關注事件的演變情況，并在工業和信息化部網絡安全管理局的指導下，組織各省分中心集中開展應急響應工作，截止3月初通報處置了1.4萬個已被利用發起攻擊或探測掃描的memcached服務器。本月境內發起反射攻擊事件數量TOP100中目前仍存活的memcached服務器及歸屬，位于上海市和浙江省的地址最多。

（2）反射攻擊發起流量來源路由器

2018年2月，境內利用memcached服務器實施反射攻擊的發起流量主要來源于626個路由器，根據參與攻擊事件的數量統計，歸屬于安徽省移動的路由器（120.X.X.2、120.X.X. 1）涉及的攻擊事件最多，其次是歸屬于上海市移動（211.X.X. 203）和北京市電信（202.X.X.17）的路由器。

根據反射發起攻擊流量的來源路由器數量按省份統計，北京市占的比例最大，占18.4%，其次是廣東省、江蘇省和四川省；按反射發起攻擊流量的來源路由器數量按歸屬運營商統計，聯通占的比例最大，占30.9%，移動占比29.8%，電信占比24.3%。

3. NTP反射攻擊資源分析

（1）反射服務器資源

NTP反射攻擊利用了NTP（一種通過互聯網服務于計算機時鐘同步的協議）服務器存在的協議脆弱性，攻擊者通過向NTP服務器IP地址的默認端口123發送偽造受害者IP地址的Monlist指令數據包，使NTP服務器向受害者IP地址反射返回比原始數據包大數倍的數據，從而進行反射攻擊。

根據CNCERT抽樣監測數據，2018年2月，NTP反射攻擊事件共涉及我國境內3 806臺反射服務器，境外28 887反射臺服務器。

2月被利用發起NTP反射攻擊的境內反射服務器數量按省份統計，河南省占的比例最大，占17.7%，其次是北京市、河北省和廣東省；按歸屬運營商統計，聯通占的比例最大，占54.4%，電信占比28.7%，移動占比12.7%。

2月被利用發起NTP反射攻擊的境外反射服務器數量按國家或地區統計，越南占的比例最大，占11.7%。

2月被利用發起NTP反射攻擊的境內反射服務器按被利用發起攻擊數量排名TOP30及歸屬，位于吉林省和北京市的地址最多。

（2）反射攻擊發起流量來源路由器

2018年2月，境內NTP反射攻擊事件的發起流量主要來源于111個路由器，根據參與攻擊事件的數量統計，歸屬于遼寧省電信的路由器（219.X.X.11）涉及的攻擊事件最多，其次是歸屬于浙江省電信（220.X.X.127）、和浙江省聯通（124.X. X.21）的路由器。

根據發起NTP反射攻擊流量的來源路由器數量按省份統計，廣東省占的比例最大，占23.4%，其次是北京市、內蒙古和浙江省；按發起NTP反射攻擊流量的來源路由器數量按歸屬運營商統計，移動占的比例最大，占39.6%，電信占比30.6%，聯通占比29.7%。

4. SSDP反射攻擊資源分析

（1）反射服務器資源

SSDP反射攻擊利用了SSDP（一種應用層協議，是構成通用即插即用（UPnP）技術的核心協議之一）服務器存在的協議脆弱性，攻擊者通過向SSDP服務器IP地址的默認端口1900發送偽造受害者IP地址的ICMP查詢請求，使SSDP服務器向受害者IP地址反射返回比原始數據包大數倍的應答數據包，從而進行反射攻擊。

根據CNCERT抽樣監測數據，2018年2月，SSDP反射攻擊事件共涉及境內1 784 407臺反射服務器，境外389 573反射臺服務器。

2月被利用發起SSDP反射攻擊的境內反射服務器數量按省份統計，山東省占的比例最大，占25.1%，其次是遼寧省、河北省和吉林省；按歸屬運營商統計，聯通占的比例最大，占74.4%，電信占比23.3%，移動占比2.0%。

2月被利用發起SSDP反射攻擊的境外反射服務器數量按國家或地區統計，俄羅斯占的比例最大，占29.7%，其次是美國、加拿大和土耳其。

2月被利用發起SSDP反射攻擊的境內反射服務器按被利用發起攻擊數量排名TOP30的反射服務器及歸屬，地址大量位于黑龍江省。

（2）反射攻擊發起流量來源路由器

2018年2月，境內SSDP反射攻擊事件的發起流量主要來源于705個路由器，根據參與攻擊事件的數量統計，歸屬于北京市電信的路由器（219.X.X.70）涉及的攻擊事件最多，其次是歸屬于北京市電信（219.X.X.45、219.X.X.30、219.X.X. 144）和天津市電信（221.X.X.1、221.X.X.2）的路由器。

根據發起SSDP反射攻擊流量的來源路由器數量按省份統計，北京市占的比例最大，占12.5%，其次是廣東省、湖南省和新疆維吾爾自治區；發起SSDP反射攻擊流量的來源路由器數量按歸屬運營商統計，移動占的比例最大，占38.9%，電信占比33.3%，聯通占比27.8%。

5.反射攻擊受害目標統計及治理建議

CNCERT根據抽樣監測分析發現，2018年2月我國境內超過1 500個攻擊目標遭受到DDoS反射攻擊，其中，遭受memcached反射攻擊的受害目標占比14.3%；遭受NTP反射攻擊的受害目標占比34.7%；遭受SSDP反射攻擊的受害目標占比51.0%。這些攻擊目標按省份分布，其中浙江省占比最大，占21.3%；其次是江蘇省、廣東省和福建省。

目前，在工業和信息化部網絡安全管理局的指導下，CNCERT組織各省分中心、運營商、安全企業、云服務商等持續開展DDoS攻擊資源治理工作，要求各單位對發現被用于反射攻擊的服務器、電腦主機和智能設備及時進行通知處理，要求運營商加強對虛假源地址流量的精細化整治工作。此外，建議用戶及相關使用單位提高網絡安全意識和安全防護能力，及時更新升級固件或服務程序、修復漏洞，規范安全配置。針對無需提供公開互聯網服務的服務器、電腦主機和智能設備，建議直接關閉DNS、SSDP、NTP、SNMP、Chargen、Memcached等服務，或在防火墻或網絡出入口上封禁外部IP訪問這些服務端口。針對需要對指定IP提供服務的，可通過配置防火墻等訪問控制策略允許授權IP的訪問并禁止其他IP的訪問，另外Memcached等部分服務也可通過更改默認服務端口或更改傳輸協議類型為TCP等方式來預防反射攻擊。針對需要提供公開互聯網服務的，可根據反射攻擊的特點，對特定反射攻擊指令的報文流量進行監測識別和過濾、對反射攻擊的偽造源IP地址進行監測識別和限速、限流、攔截。