文章来源：国家互联网应急中心CNCERT公众号

引言

1、攻击资源定义

本报告为2021年第3季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：

1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。

2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。

3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。

4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。

在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。

2、本季度重点关注情况

1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制端按国家和地区统计，最多位于美国、荷兰和德国；境内控制端按省份统计，最多位于广东省、北京市和河南省，按归属运营商统计，电信占比最大，境内活跃控制端数量进一步降低。

2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多位于山东省、重庆市和广东省；按归属运营商统计，联通占比最大；境内肉鸡数量相比第二季度增加108.0%。

3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是广东省、河南省、和山东省；数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是湖北省、河北省和河南省；数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中，按省份统计排名前三名的省份是浙江省、广东省和辽宁省；数量最多的归属运营商是电信。

4、本季度转发伪造跨域攻击流量的路由器中，位于贵州省、四川省和江苏省的路由器数量最多。本季度转发伪造本地攻击流量的路由器中，位于河南省、山东省和湖北省的路由器数量最多。

DDoS攻击资源分析

1、控制端资源分析

2021年第3季度CNCERT/CC监测发现，利用肉鸡发起DDoS攻击的活跃控制端有500个，其中境外控制端占比97.0%、云平台控制端占比77.2%，如图1所示，境内控制端数量进一步降低。

图1 2021年第3季度发起DDoS攻击的控制端数量境内外分布和云平台占比

位于境外的控制端按国家或地区统计，排名前三位的分别为美国（44.1%）、荷兰（9.7%）和德国（8.9%），其中如图2所示。

图2 2021年第3季度发起DDoS攻击的境外控制端数量按国家或地区分布

位于境内的控制端按省份统计，排名前三位的分别为广东省（20.0%）、北京市（20.0%）和河南省（13.3%）；按运营商统计，电信占26.7%，联通占6.7%，其他占比66.7%，如图3所示。

图3 2021年第3季度发起DDoS攻击的境内控制端数量按省份和运营商分布

发起攻击最多的境内控制端地址前十名及归属如表1所示，位于上海市的地址最多。

表1 2021年第3季度发起攻击的境内控制端TOP10

2、肉鸡资源分析

2021年第3季度CNCERT/CC监测发现，参与真实地址攻击（包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉鸡1004384个，其中境内肉鸡占比96.5%、云平台肉鸡占比1.9%，如图4所示，境内肉鸡数量相比第二季度增加108.0%。

图4 2021年第3度参与DDoS攻击的肉鸡数量境内外分布和云平台占比

位于境外的肉鸡按国家或地区统计，排名前三位的分别为德国（14.8%）、美国（14.1%）和日本（13.4%），其中如图5所示。

图5 2021年第3季度参与DDoS攻击的境外肉鸡数量按国家或地区分布

位于境内的肉鸡按省份统计，排名前三位的分别为山东省（12.4%）、重庆市（9.4%）和广东省（7.2%）；按运营商统计，联通占48.4%，电信占47.4%，移动占2.7%，如图6所示。

图6 2021年第3季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布

参与攻击最多的境内肉鸡地址前二十名及归属如表2所示，位于北京市的地址最多。

表2 2021年第3季度参与攻击最多的境内肉鸡地址TOP20

3、反射攻击资源分析

2021年第3季度CNCERT/CC监测发现，参与反射攻击的三类重点反射服务器1701128台，其中境内反射服务器占比85.6%，Memcached反射服务器占比5.1%，NTP反射服务器占比23.1%，SSDP反射服务器占比71.8%。

（1）Memcached反射服务器资源

Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器（一种分布式缓存系统）存在的认证和设计缺陷，攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包，使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据，从而进行反射攻击。

2021年第3季度CNCERT/CC监测发现，参与反射攻击的Memcached反射服务器86714个，其中境内反射服务器占比97.1%、云平台反射服务器占比2.7%，如图7所示。

图7 2021年第3季度Memcached反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为美国（27.5%）、德国（7.8%）和俄罗斯（5.2%），如图8所示。

图8 2021年第3季度境外Memcached反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为广东省（20.5%）、河南省（16.8%）和山东省（11.7%）；按运营商统计，电信占49.6%，移动占35.9%，联通占13.8%，如图9所示。

图9 2021年第3季度境内Memcached反射服务器数量按省份和运营商分布

被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示，均位于河南省。

表3 2021年第3季度被利用参与Memcached反射攻击最多的反射服务器地址Top20

(2）NTP反射服务器资源

NTP反射攻击利用了NTP（一种通过互联网服务于计算机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包，使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据，从而进行反射攻击。

2021年第3季度CNCERT/CC监测发现，参与反射攻击的NTP反射服务器392819个，其中境内反射服务器占比54.4%、云平台反射服务器占比4.2%，如图10所示。

位于境外的反射服务器按国家或地区统计，排名前三位的分别为越南（60.2%）、巴西（10.8%）和中国香港（7.2%），其中如图11所示。

图11 2021年第3季度境外NTP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为湖北省（26.6%）、河北省（16.1%）和河南省（12.5%）；按运营商统计，联通占56.5%，电信占33.0%，移动占8.6%，如图12所示。

图12 2021年第3季度境内NTP反射服务器数量按省份和运营商分布

被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示，位于云南省的地址最多。

表4 2021年第3季度被利用参与NTP反射攻击最多的反射服务器地址Top20

（3）SSDP反射服务器资源

SSDP反射攻击利用了SSDP（一种应用层协议，是构成通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议脆弱性，攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求，使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包，从而进行反射攻击。

2021年第3季度CNCERT/CC监测发现，参与反射攻击的SSDP反射服务器1221595个，其中境内反射服务器占比94.8%、云平台反射服务器占比0.2%，如图13所示。

图13 2021年第3季度SSDP反射服务器数量境内外分布和云平台占比

位于境外的反射服务器按国家或地区统计，排名前三位的分别为中国台湾（26.1%）、加拿大（10.6%）和美国（8.3%），其中如图14所示。

图14 2021年第3季度境外SSDP反射服务器数量按国家或地区分布

位于境内的反射服务器按省份统计，排名前三位的分别为浙江省（18.8%）、广东省（14.2%）和辽宁省（14.1%）；按运营商统计，电信占55.4%，联通占42.9%，移动占1.4%，如图15所示。

图15 2021年第3季度境内SSDP反射服务器数量按省份和运营商分布

被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示，位于宁夏省和云南省的地址最多。

表5  2021年第3季度被利用参与SSDP反射攻击最多的反射服务器地址Top20

4、转发伪造流量的路由器分析

（1）跨域伪造流量来源路由器

2021年第3季度CNCERT/CC监测发现，转发跨域伪造流量的路由器138个；按省份统计，排名前三位的分别为贵州省（14.5%）、四川省（13.8%）和江苏省（8.7%）；按运营商统计，移动占42.0%，电信占38.4%，联通占19.6%，如图16所示。

图16 跨域伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计，参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示，位于北京市的地址最多。

表6  2021年第3季度参与攻击最多的跨域伪造流量来源路由器TOP20

（2）本地伪造流量来源路由器

2021年第3季度CNCERT/CC监测发现，转发本地伪造流量的路由器934个；按省份统计，排名前三位的分别为河南（9.6%）、山东省（9.1%）和湖北省（7.5%）；按运营商统计，电信占48.1%，移动占27.1%，联通占24.8%，如图17所示。

图17 2021年第3季度本地伪造流量来源路由器数量按省份和运营商分布

根据参与攻击事件的数量统计，参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示，位于北京市、江苏省、上海市的地址最多。

表7 2021年第3季度参与攻击最多的本地伪造流量来源路由器TOP20