CNCERT 2018年4月我国DDoS攻击资源分析报告 – 作者:CNCERT

本月重点关注情况

1、本月参与攻击较多的肉鸡地址主要归属于山东省、上海市、广东省和浙江省,其中大量肉鸡地址归属于电信运营商。2018年以来监测到的肉鸡资源中,共计655个肉鸡持续活跃。

2、本月反射攻击事件整体增多,被利用的反射服务器资源数量较上月有较大幅度增长。其中,被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、山东省、和浙江省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是宁夏回族自治区、辽宁省和山东省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是山东省、辽宁省、和河北省;数量最多的归属运营商是联通。

3、转发伪造跨域攻击流量的路由器中,归属于北京市电信的路由器参与的攻击事件数量最多。2018年以来被持续利用的跨域伪造流量来源路由器中,有20个在本月仍活跃,归属于浙江省和上海市路由器数量最多。

4、转发伪造本地攻击流量的路由器中,归属于北京市电信的路由器参与的攻击事件数量最多。2018年以来被持续利用的跨域伪造流量来源路由器中,有98个在本月仍活跃,归属于江苏省、江西省和浙江省路由器数量最多。  

攻击资源定义

本报告为2018年4月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:

1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。

2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。

4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。

DDoS攻击资源分析

1. 控制端资源分析

根据CNCERT抽样监测数据,2018年4月,利用肉鸡发起DDoS攻击的控制端有185个,其中,48个控制端位于境内,137个控制端位于境外。

位于境外的控制端按国家或地区分布,美国占的比例最大,占50.4%,其次是中国香港和加拿大,如图1所示。

1.png

图1 本月发起DDoS攻击的境外控制端数量按国家或地区

位于境内的控制端按省份统计,浙江省占的比例最大,占33.3%,其次是江苏省、江西省和北京市;按运营商统计,电信占的比例最大,占81.3%,联通占6.3%,移动占2.1%,如图2所示。

2.png

图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端前二十名及归属如表1所示,主要位于江苏省和浙江省。

表1 本月发起攻击最多的境内控制端TOP20

控制端地址 归属省份 归属运营商
115.X.X.184 浙江省 电信
218.X.X.140 江西省 电信
115.X.X.206 浙江省 电信
101.X.X.247 北京市 电信
123.X.X.46 贵州省 电信
182.X.X.227 上海市 待确认
183.X.X.148 广东省 电信
61.X.X.148 江苏省 电信
61.X.X.38 江苏省 电信
221.X.X.34 江苏省 电信
42.X.X.249 河南省 联通
222.X.X.195 江苏省 电信
118.X.X.11 上海市 待确认
222.X.X.36 江苏省 电信
118.X.X.184 广东省 电信
222.X.X.165 江苏省 电信
115.X.X.107 浙江省 电信
123.X.X.118 贵州省 电信
115.X.X.170 浙江省 电信
222.X.X.136 江苏省 电信

2018年1月至今监测到的控制端中,10.8%的控制端在本月仍处于活跃状态,共计41个,其中位于我国境内的控制端数量为11个,位于境外的控制端数量为30个。持续活跃的境内控制端及归属如表2所示。

表2 2018年以来持续活跃发起DDOS攻击的境内控制端

控制端地址 归属省份 归属运营商
211.X.X.82 四川省 电信
117.X.X.107 江西省 电信
115.X.X.138 上海市 电信
115.X.X.184 浙江省 电信
101.X.X.247 北京市 电信
115.X.X.139 浙江省 电信
123.X.X.153 山东省 联通
123.X.X.18 山东省 联通
221.X.X.34 江苏省 电信
111.X.X.196 江西省 电信
182.X.X.227 上海市 待确认

2018年1月至今持续活跃的境内控制端按省份统计,江西省、上海市、浙江省和山东省所占比例相同,均为18.2%,其次是四川省、北京市和江苏省;按运营商统计,电信占的比例最大,为72.7%,联通占18.2%,如图3所示。

3.png

图3 2018年以来持续活跃发起DDoS攻击的境内控制端数量按省份和运营商分布

2. 肉鸡资源分析

根据CNCERT抽样监测数据,2018年4月,共有79983个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。

这些肉鸡资源按省份统计,山东省占的比例最大,为12.8%,其次是上海市、广东省和浙江省;按运营商统计,电信占的比例最大,为69.1%,联通占21.3%,移动占4.9%,如图4所示。

4.png

图4 本月肉鸡地址数量按省份和运营商分布

本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于云南省和北京市的地址最多。

表3本月参与攻击最多的肉鸡地址TOP20

肉鸡地址 归属省份 归属运营商
124.X.X.117 海南省 电信
140.X.X.147 北京市 待确认
139.X.X.54 上海市 电信
42.X.X.245 宁夏回族自治区 联通
123.X.X.40 上海市 待确认
219.X.X.182 广西壮族自治区 电信
183.X.X.30 云南省 移动
183.X.X.34 云南省 移动
183.X.X.245 云南省 移动
183.X.X.137 云南省 移动
61.X.X.28 甘肃省 电信
183.X.X.11 云南省 移动
220.X.X.58 广西壮族自治区 电信
111.X.X.34 北京市 联通
118.X.X.210 湖南省 电信
52.X.X.39 北京市 待确认
123.X.X.201 广东省 电信
121.X.X.226 广东省 电信
218.X.X.221 湖南省 电信
1.X.X.170 北京市 电信

2018年1月至今监测到的肉鸡资源中,共计655个肉鸡在本月仍处于活跃状态。近四个月被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。

表4近四月被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址

肉鸡地址 归属省份 归属运营商
42.X.X.245 宁夏回族自治区 联通
61.X.X.66 青海省 电信
125.X.X.5 河南省 联通
175.X.X.131 湖南省 电信
61.X.X.4 河南省 联通
120.X.X.68 山东省 移动
122.X.X.219 山东省 电信
61.X.X.20 山东省 联通
124.X.X.132 宁夏回族自治区 电信
61.X.X.218 河南省 联通
101.X.X.245 上海市 电信
101.X.X.244 上海市 电信
112.X.X.100 江苏省 移动
139.X.X.2 上海市 电信
101.X.X.243 上海市 电信
183.X.X.105 江苏省 移动
183.X.X.104 江苏省 移动
183.X.X.103 江苏省 移动
183.X.X.102 江苏省 移动
183.X.X.101 江苏省 移动

2018年以来持续活跃的肉鸡资源按省份统计,山东省占的比例最大,占24.9%,其次是江苏省、浙江省和广东省;按运营商统计,电信占的比例最大,占77.1%,联通占11.5%,移动占6.8%,如图5所示。

5.png

图5 2018年以来持续活跃的肉鸡数量按省份和运营商分布

3. 反射攻击资源分析

根据CNCERT抽样监测数据,2018年4月,利用反射服务器发起的三类重点反射攻击共涉及3,569,329台反射服务器,其中境内反射服务器3,396,315台,境外反射服务器173,014台。反射攻击所利用memcached反射服务器发起反射攻击的反射服务器有22,401台,占比0.6%,其中境内反射服务器18,180台,境外反射服务器4,221台;利用NTP反射发起反射攻击的反射服务器有364,779台,占比10.2%,其中境内反射服务器360,987台,境外反射服务器3,792台;利用SSDP反射发起反射攻击的反射服务器有3,182,149台,占比89.2%,其中境内反射服务器3,017,148台,境外反射服务器165,001台。

(1)memcached反射服务器资源

memcached反射攻击利用了在互联网上暴露的大批量memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年4月,利用memcached服务器实施反射攻击的事件共涉及境内18,180台反射服务器,境外4,221台反射服务器。

本月境内反射服务器数量按省份统计,广东省占的比例最大,占10.9%,其次是山东省、浙江省和江苏省;按归属运营商或云服务商统计,电信占的比例最大,占33.0%,移动占比28.9%,联通占比18.4%,阿里云占比11.7%,如图6所示。

6.png

图6 本月境内memcached反射服务器数量按省份、运营商或云服务商分布

本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占35.5%,其次是中国香港、加拿大和法国,如图7所示。

7.png

图7 本月境外反射服务器数量按国家或地区分布

本月境内发起反射攻击事件数量TOP100中目前仍存活的memcached服务器及归属如表5所示,位于北京市和四川省的地址最多。

表5 本月境内发起反射攻击事件数量TOP100中仍存活的memcached服务器TOP30

反射服务器地址 归属省份 归属运营商
59.X.X.158 辽宁省 电信
211.X.X.248 北京市 电信
60.X.X.149 内蒙古自治区 联通
171.X.X.253 四川省 电信
42.X.X.244 辽宁省 电信
218.X.X.157 新疆维吾尔族自治区 电信
171.X.X.109 四川省 电信
112.X.X.54 江苏省 移动
211.X.X.112 湖南省 移动
123.X.X.211 内蒙古自治区 电信
222.X.X.115 贵州省 电信
120.X.X.164 山东省 移动
222.X.X.13 山东省 电信
123.X.X.189 北京市 联通
222.X.X.94 山东省 电信
120.X.X.23 安徽省 移动
61.X.X.6 江苏省 电信
220.X.X.162 云南省 电信
61.X.X.13 江苏省 电信
106.X.X.51 北京市 电信
211.X.X.75 湖北省 联通
114.X.X.80 广东省 移动
223.X.X.13 四川省 移动
218.X.X.133 四川省 电信
1.X.X.178 北京市 电信
219.X.X.23 北京市 电信
218.X.X.129 北京市 联通
222.X.X.239 贵州省 电信
125.X.X.160 四川省 电信

近两月被利用发起攻击的memcached反射服务器中,仅有5个在本月仍处于活跃状态,其中4个位于境内,1个位于境外。境内本月仍活跃的memcached反射服务器及归属如表6所示。

表6 近两月被利用发起攻击且在本月持续活跃的境内memcached反射服务器地址

反射服务器地址 归属省份 归属运营商
113.X.X.53 广东省 电信
183.X.X.5 浙江省 电信
36.X.X.135 内蒙古自治区 电信
27.X.X.34 福建省 电信

(2)NTP反射服务器资源

NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年4月,NTP反射攻击事件共涉及我国境内360,987台反射服务器,境外3,792台反射服务器。被利用发起攻击的NTP反射服务器总量较上月有较大幅度的上升。

本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,宁夏回族自治区占的比例最大,占15.6%,其次是辽宁省、山东省和吉林省;按归属运营商统计,联通占的比例最大,占56.4%,电信占比27.4%,移动占比9.1%,如图8所示。

8.png

图8 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,美国占的比例最大,占23.1%,其次是印度、巴基斯坦和澳大利亚,如图9所示。

9.png

图9本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布

本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表7所示,地址大量位于宁夏回族自治区。

表7本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30

反射服务器地址 归属省份 归属运营商
119.X.X.50 宁夏回族自治区 电信
119.X.X.162 宁夏回族自治区 电信
218.X.X.74 宁夏回族自治区 电信
222.X.X.42 宁夏回族自治区 电信
218.X.X.130 宁夏回族自治区 电信
222.X.X.245 宁夏回族自治区 电信
111.X.X.206 宁夏回族自治区 电信
218.X.X.134 宁夏回族自治区 电信
218.X.X.94 宁夏回族自治区 电信
61.X.X.228 宁夏回族自治区 电信
218.X.X.50 宁夏回族自治区 电信
111.X.X.18 宁夏回族自治区 电信
119.X.X.102 宁夏回族自治区 电信
111.X.X.6 宁夏回族自治区 电信
119.X.X.154 宁夏回族自治区 电信
119.X.X.110 宁夏回族自治区 电信
218.X.X.27 宁夏回族自治区 电信
218.X.X.2 宁夏回族自治区 电信
218.X.X.15 宁夏回族自治区 电信
119.X.X.66 宁夏回族自治区 电信
61.X.X.190 宁夏回族自治区 电信
218.X.X.238 宁夏回族自治区 电信
183.X.X.116 湖南省 移动
218.X.X.66 宁夏回族自治区 电信
61.X.X.194 宁夏回族自治区 电信
218.X.X.78 宁夏回族自治区 电信
124.X.X.70 宁夏回族自治区 电信
218.X.X.178 宁夏回族自治区 电信
111.X.X.158 宁夏回族自治区 电信
218.X.X.102 宁夏回族自治区 电信

近两月被持续利用发起攻击的NTP反射服务器中,共计87个在本月仍处于活跃状态。持续活跃的NTP反射服务器按省份统计,内蒙古自治区占的比例最大,占93.1%,其次是辽宁省;按运营商统计,联通占的比例最大,占49.4%,电信占36.8%,移动占13.8%,如图10所示。

10.png

图10 近两月被持续利用发起攻击的NTP反射服务器数量按省份运营商分布

(3)SSDP反射服务器资源

SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。

根据CNCERT抽样监测数据,2018年4月,SSDP反射攻击事件共涉及境内3,017,148台反射服务器,境外165,001台反射服务器。被利用发起攻击的SSDP反射服务器总量较上月有较大幅度的上升。

本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,山东省占的比例最大,占20.9%,其次是辽宁省、河北省和浙江省;按归属运营商统计,联通占的比例最大,占61.0%,电信占比36.6%,移动占比2.1%,如图11所示。

11.png

图11 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布

本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,美国占的比例最大,占37.3%,其次是中国台湾、加拿大和韩国,如图12所示。

12.png

图12 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布

本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表8所示,位于黑龙江省的地址最多。

表8 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器

反射服务器地址 归属省份 归属运营商
111.X.X.2 黑龙江省 移动
111.X.X.40 黑龙江省 移动
112.X.X.158 黑龙江省 电信
117.X.X.89 广西壮族自治区 移动
42.X.X.163 黑龙江省 电信
218.X.X.177 广西壮族自治区 移动
111.X.X.118 黑龙江省 移动
222.X.X.131 黑龙江省 电信
124.X.X.2 宁夏回族自治区 电信
111.X.X.130 宁夏回族自治区 移动
123.X.X.178 内蒙古自治区 电信
111.X.X.167 黑龙江省 移动
42.X.X.11 黑龙江省 电信
111.X.X.6 黑龙江省 移动
111.X.X.96 黑龙江省 移动
123.X.X.139 黑龙江省 电信
111.X.X.141 广西壮族自治区 移动
211.X.X.134 黑龙江省 移动
111.X.X.25 黑龙江省 移动
222.X.X.94 黑龙江省 电信
117.X.X.62 广西壮族自治区 移动
111.X.X.39 黑龙江省 移动
222.X.X.169 黑龙江省 电信
111.X.X.59 黑龙江省 移动
111.X.X.40 黑龙江省 移动
112.X.X.3 黑龙江省 电信
1.X.X.10 内蒙古自治区 电信
111.X.X.14 黑龙江省 移动
123.X.X.118 内蒙古自治区 电信
111.X.X.184 黑龙江省 移动

此外,上月被利用发起DDoS攻击次数TOP100的SSDP反射服务器中,监测发现有52个在本月仍活跃,存活率为52%,存活的境内反射服务器归属如表9所示。近两月持续活跃的参与大量攻击事件的SSDP反射服务器都位于黑龙江省;按运营商统计,电信占的比例最大,占55.8%,移动占44.2%。

表9 2018年3月被利用发起SSDP反射攻击次数TOP100且在本月持续活跃的反射服务器地址

反射服务器地址 归属省份 归属运营商
111.X.X.118 黑龙江省 移动
112.X.X.18 黑龙江省 电信
222.X.X.89 黑龙江省 电信
123.X.X.162 黑龙江省 电信
111.X.X.11 黑龙江省 移动
111.X.X.34 黑龙江省 移动
123.X.X.118 黑龙江省 电信
112.X.X.18 黑龙江省 电信
111.X.X.186 黑龙江省 移动
222.X.X.178 黑龙江省 电信
112.X.X.46 黑龙江省 电信
111.X.X.12 黑龙江省 移动
111.X.X.111 黑龙江省 移动
222.X.X.90 黑龙江省 电信
111.X.X.75 黑龙江省 移动
222.X.X.26 黑龙江省 电信
111.X.X.215 黑龙江省 移动
222.X.X.171 黑龙江省 电信
222.X.X.34 黑龙江省 电信
111.X.X.15 黑龙江省 移动
111.X.X.2 黑龙江省 移动
112.X.X.158 黑龙江省 电信
222.X.X.169 黑龙江省 电信
111.X.X.36 黑龙江省 移动
111.X.X.254 黑龙江省 移动
222.X.X.22 黑龙江省 电信
111.X.X.125 黑龙江省 移动
112.X.X.214 黑龙江省 电信
219.X.X.198 黑龙江省 电信
222.X.X.90 黑龙江省 电信
111.X.X.6 黑龙江省 移动
111.X.X.28 黑龙江省 移动
222.X.X.39 黑龙江省 电信
111.X.X.111 黑龙江省 移动
112.X.X.49 黑龙江省 电信
111.X.X.109 黑龙江省 移动
222.X.X.124 黑龙江省 电信
111.X.X.74 黑龙江省 移动
219.X.X.94 黑龙江省 电信
112.X.X.55 黑龙江省 电信
111.X.X.170 黑龙江省 移动
111.X.X.149 黑龙江省 移动
219.X.X.97 黑龙江省 电信
111.X.X.75 黑龙江省 移动
222.X.X.34 黑龙江省 电信
112.X.X.26 黑龙江省 电信
111.X.X.8 黑龙江省 移动
222.X.X.145 黑龙江省 电信
112.X.X.218 黑龙江省 电信
111.X.X.187 黑龙江省 移动
112.X.X.44 黑龙江省 电信
222.X.X.94 黑龙江省 电信

(4)发起伪造流量的路由器分析

1. 跨域伪造流量来源路由器

根据CNCERT抽样监测数据,2018年4月,通过跨域伪造流量发起攻击的流量来源于129个路由器。根据参与攻击事件的数量统计,归属于北京市电信的路由器(219.X.X.70)参与的攻击事件数量最多,其次是归属于新疆维吾尔族自治区移动(221.X.X.9、221.X.X.5)的路由器,如表10所示。在图中用黄色标注的2台本地攻击流量来源路由器,为2018年持续被利用发起DDoS攻击次数的排名位列TOP25,且监测发现在本月仍排在前列的路由器地址。

表10 本月参与攻击最多的跨域伪造流量来源路由器TOP25

跨域伪造流量来源路由器 归属省份 归属运营商
219.X.X.70 北京市 电信
221.X.X.9 新疆维吾尔族自治区 移动
221.X.X.5 新疆维吾尔族自治区 移动
218.X.X.254 内蒙古自治区 联通
120.X.X.8 广东省 联通
221.X.X.254 广东省 联通
120.X.X.9 广东省 联通
221.X.X.253 广东省 联通
218.X.X.254 山东省 联通
219.X.X.30 北京市 电信
113.X.X.253 广东省 电信
113.X.X.254 广东省 电信
113.X.X.253 湖北省 联通
218.X.X.241 内蒙古自治区 联通
120.X.X.8 广东省 联通
221.X.X.2 天津市 电信
221.X.X.1 天津市 电信
61.X.X.25 浙江省 电信
218.X.X.254 山东省 联通
61.X.X.4 浙江省 电信
61.X.X.8 浙江省 电信
222.X.X.200 山东省 电信
113.X.X.252 湖北省 联通
120.X.X.9 广东省 联通
219.X.X.144 北京市 电信

跨域伪造流量涉及路由器按省份分布统计,广东省占的比例最大,占10.9%,其次是浙江省和江苏省;按路由器所属运营商统计,电信占的比例最大,占39.5%,联通占比32.6%,移动占比27.9%,如图13所示。

13.png

图13 跨域伪造流量来源路由器数量按省份和运营商分布

2018年度被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有20个在本月仍活跃,存活率为15.5%。按省份统计,浙江省和上海市路由器数量最多,如表11所示。

表11 2018年被持续利用转发跨域伪造攻击流量本月仍活跃路由器地址

跨域伪造流量来源路由器 归属省份 归属运营商
221.X.X.1 天津市 电信
221.X.X.2 天津市 电信
61.X.X.25 浙江省 电信
125.X.X.202 吉林省 联通
120.X.X.2 山东省 移动
120.X.X.1 山东省 移动
211.X.X.205 上海市 移动
211.X.X.203 上海市 移动
218.X.X.254 山东省 联通
112.X.X.38 上海市 联通
220.X.X.127 浙江省 电信
220.X.X.126 浙江省 电信
211.X.X.8 浙江省 移动
211.X.X.9 浙江省 移动
211.X.X.3 浙江省 移动
211.X.X.2 浙江省 移动
202.X.X.21 上海市 电信
111.X.X.1 北京市 移动
202.X.X.223 河北省 联通
211.X.X.224 江西省 移动

2. 本地伪造流量来源路由器

根据CNCERT抽样监测数据,2018年4月,通过本地伪造流量发起攻击的流量来源于382个路由器。根据参与攻击事件的数量统计,2台归属于北京市电信的路由器(220.X.X.243、220.X.X.253)参与的攻击事件数量最多,其次是归属于上海市电信的路由器(202.X.X.24),如表12所示。

表12 本月参与攻击最多的本地伪造流量来源路由器TOP25

本地伪造流量来源路由器 归属省份 归属运营商
220.X.X.243 北京市 电信
220.X.X.253 北京市 电信
202.X.X.24 上海市 电信
222.X.X.15 新疆维吾尔族自治区 电信
222.X.X.16 新疆维吾尔族自治区 电信
117.X.X.1 陕西省 电信
117.X.X.2 陕西省 电信
211.X.X.17 湖南省 移动
211.X.X.18 湖南省 移动
202.X.X.23 上海市 电信
61.X.X.4 浙江省 电信
61.X.X.8 浙江省 电信
219.X.X.1 山西省 电信
61.X.X.1 四川省 电信
202.X.X.137 浙江省 电信
117.X.X.254 天津市 联通
117.X.X.253 天津市 联通
220.X.X.127 浙江省 电信
220.X.X.126 浙江省 电信
219.X.X.5 内蒙古自治区 电信
202.X.X.136 浙江省 电信
123.X.X.2 内蒙古自治区 电信
219.X.X.124 内蒙古自治区 电信
202.X.X.1 四川省 电信
202.X.X.2 四川省 电信

本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占12.3%,其次是湖南省、广东省及贵州省;按路由器所属运营商统计,电信占的比例最大,占54.5%,移动占比30.9%,联通占比14.7%,如图14所示。

14.png

图14 本地伪造流量来源路由器数量按省份和运营商分布

2018年被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有98个在本月仍活跃,存活率为25.7%。按省份统计,江苏省占的比例最大,占12.3%,其次是江西省和浙江省;按运营商统计,电信占的比例最大,占64.3%,移动占比28.6%,联通占比7.1%,如图15所示。

15.png

图15 2018年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布

* 本文作者:CNCERT,转载请注明来自FreeBuf.COM

来源:freebuf.com 2018-05-01 12:00:05 by: CNCERT

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论