文章来源：国家互联网应急中心CNCERT公众号

本季度重点关注情况

1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、德国和荷兰；境内控制端按省份统计，最多位于吉林省、河南省和山东省，按归属运营商统计，联通占比最大。

2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于江苏省、安徽省和浙江省；按归属运营商统计，电信占比最大。

3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、山东省、和湖南省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、河北省和湖北省；数量最多的归属运营商是电信。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。

4、本季度转发伪造跨域攻击流量的路由器中，位于上海市、四川省和北京市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于江苏省、福建省和广东省的路由器数量最多。

攻击资源定义

本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：

1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。

2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。

4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。

DDoS攻击资源分析

1、控制端资源分析

2021年第1季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有793个，其中境外控制端占比97.9%、云平台控制端占比68.5%，如图1所示。

图1 2021年第1季度发起DDoS攻击的控制端数量境内外分布和云平台占比

位于境外的控制端按国家或地区统计，排名前三位的分别为美国（41.9%）、德国（12.0%）和荷兰（9.3%），其中如图2所示。

图2 2021年第1季度发起DDoS攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计，排名前三位的分别为吉林省（23.5%）、河南省（11.8%）和山东省（11.8%）；按运营商统计，联通占41.2%，电信占23.5%，如图3所示。

图3 2021年第1季度发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端地址前二十名及归属如表1所示，位于吉林省的地址最多。

表1 2021年第1季度发起攻击的境内控制端TOP20

2、肉鸡资源分析

2021年第1季度CNCERT/CC监测发现，参与真实地址攻击（包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉鸡621557个，其中境内肉鸡占比68.8%、云平台肉鸡占比8.7%，如图4所示。

图4 2021年第1季度参与DDoS攻击的肉鸡数量境内外分布和云平台占比

位于境外的肉鸡按国家或地区统计，排名前三位的分别为美国（14.7%）、越南（14.4%）和巴西（7.2%），其中如图5所示。

图5 2021年第1季度参与DDoS攻击的境外肉鸡数量按国家或地区分布

位于境内的肉鸡按省份统计，排名前三位的分别为江苏省（11.8%）、安徽省（7.5%）和浙江省（6.6%）；按运营商统计，电信占62.5%，联通占23.9%，移动占11.0%，如图6所示。

图6 2021年第1季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布

参与攻击最多的境内肉鸡地址前二十名及归属如表2所示，位于北京市的地址最多。

表2 2021年第1季度参与攻击最多的境内肉鸡地址TOP20

3、反射攻击资源分析

2021年第1季度CNCERT/CC监测发现，参与反射攻击的三类重点反射服务器3343283台，其中境内反射服务器占比83.6%，Memcached反射服务器占比2.6%，NTP反射服务器占比18.2%，SSDP反射服务器占比79.2%。

（1）Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包，使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据，从而进行反射攻击。

2021年第1季度CNCERT/CC监测发现，参与反射攻击的Memcached反射服务器88044个，其中境内反射服务器占比90.3%、云平台反射服务器占比8.8%，如图7所示。

图7 2021年第1季度Memcached反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为美国（31.1%）、德国（7.7%）和中国香港（7.6%），其中如图8所示。

图8 2021年第1季度境外Memcached反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为广东省（23.1%）、山东省（6.0%）和湖南省（5.5%）；按运营商统计，电信占73.7%，移动占12.8%，联通占11.2%，如图9所示。

                                                                图9 2021年第1季度境内Memcached反射服务器数量按省份和运营商分布

被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示，位于北京市的地址最多。

表3 2021年第1季度被利用参与Memcached反射攻击最多的反射服务器地址TOP20

（2）NTP反射服务器资源

NTP反射攻击利用了NTP（一种通过互联网服务于计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包，使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据，从而进行反射攻击。

2021年第1季度CNCERT/CC监测发现，参与反射攻击的NTP反射服务器608879个，其中境内反射服务器占比44.2%、云平台反射服务器占比3.1%，如图10所示。

                                                                    图10 2021年第1季度NTP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为越南（49.1%）、巴西（9.0%）和马来西亚（4.0%），其中如图11所示。

                                                                      图11 2021年第1季度境外NTP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为浙江省（33.1%）、河北省（11.5%）和湖北省（11.1%）；按运营商统计，电信占55.0%，联通占34.2%，移动占9.2%，如图12所示。

                                                                     图12 2021年第1季度境内NTP反射服务器数量按省份和运营商分布

被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示，位于安徽省、上海市的地址最多。

表4 2021年第1季度被利用参与NTP反射攻击最多的反射服务器地址TOP20

（3）SSDP反射服务器资源

SSDP反射攻击利用了SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议脆弱性，攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求，使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包，从而进行反射攻击。

2021年第1季度CNCERT/CC监测发现，参与反射攻击的SSDP反射服务器2646360个，其中境内反射服务器占比92.5%、云平台反射服务器占比0.2%，如图13所示。

                                                                    图13 2021年第1季度SSDP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为俄罗斯（13.9%）、美国（9.1%）和韩国（8.2%），其中如图14所示。

                                                                       图14 2021年第1季度境外SSDP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为浙江省（16.5%）、广东省（10.6%）和辽宁省（10.0%）；按运营商统计，电信占53.6%，联通占45.2%，移动占0.6%，如图15所示。

                                                                      图15 2021年第1季度境内SSDP反射服务器数量按省份和运营商分布

被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示，位于上海市的地址最多。

表5 2021年第1季度被利用参与SSDP反射攻击最多的反射服务器地址TOP20

4、转发伪造流量的路由器分析

（1）跨域伪造流量来源路由器

2021年第1季度CNCERT/CC监测发现，转发跨域伪造流量的路由器162个；按省份统计，排名前三位的分别为上海市（16.0%）、四川省（15.4%）和北京市（13.6%）；按运营商统计，电信占52.5%，移动占27.8%，联通占19.8%，如图16所示。

                                                                            图16 跨域伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计，参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示，位于上海市的地址最多。

表6 2021年第1季度参与攻击最多的跨域伪造流量来源路由器TOP20

（2）本地伪造流量来源路由器

2021年第1季度CNCERT/CC监测发现，转发本地伪造流量的路由器874个；按省份统计，排名前三位的分别为江苏省（9.8%）、福建省（5.4%）和广东省（5.3%）；按运营商统计，电信占48.5%，移动占33.4%，联通占18.1%，如图17所示。

                                                                  图17 2021年第1季度本地伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计，参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示，位于江苏省的地址最多。

表7 2021年第1季度参与攻击最多的本地伪造流量来源路由器TOP20