2018年4月我国DDoS攻击资源分析报告

《2018年4月我国DDoS攻击资源分析报告》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、我国DDoS攻击资源月度分析报告（2018年4月）国家计算机网络应急技术处理协调中心2018年4月目录一、引言3...（一）攻击资源定义3...（二）本月重点关注情况4..二、DDoS攻击资源分析5..（一）控制端资源分析5..（二）肉鸡资源分析8...（三）反射攻击资源分析1..0（四）发起伪造流量的路由器分析2..11.跨域伪造流量来源路由器2..12•本地伪造流量来源路由器2.・3•、引言（一）攻击资源定义本报告为2018年4月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从

2、哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：1＞控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上

3、进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。（二

4、）本月重点关注情况1＞本月参与攻击较多的肉鸡地址主要归属于山东省、上海市、广东省和浙江省，其中大量肉鸡地址归属于电信运营商。2018年以来监测到的肉鸡资源中,共计655个肉鸡持续活跃。2、本月反射攻击事件整体增多，被利用的反射服务器资源数量较上月有较大幅度增长。其中，被利用发起memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、山东省、和浙江省；数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是宁夏回族自治区、辽宁省和山东省；数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数

5、量按省份统计排名前三名的省份是山东省、辽宁省、和河北省；数量最多的归属运营商是联通。3、转发伪造跨域攻击流量的路由器中，归属于北京市电信的路由器参与的攻击事件数量最多,2018年以来被持续利用的跨域伪造流量来源路由器中，有20个在本月仍活跃，归属于浙江省和上海市路由器数量最多。4、转发伪造本地攻击流量的路由器中，归属于北京市电信的路由器参与的攻击事件数量最多,2018年以来被持续利用的跨域伪造流量来源路由器中，有98个在本月仍活跃，归属于江苏省、江西省和浙江省路由器薮量垠乡二y二、DDoS攻击资源分析（一）控制端资源分析根据CNCERT抽样监测数据，2018年4月，利用肉鸡

6、发起DDoS攻击的控制端有185个，其中，48个控制端位于境内，137个控制端位于境外。位于境外的控制端按国家或地区分布，美国占的比例最大,占50.4%,其次是中国香港和加拿大，如图1所示。