1、 2017 年我国 DDoS 攻击资源分析报告 国家计算机网络应急技术处理协调中心 2017 年 12 月 2017 年我国 DDoS 攻击资源分析报告 2 / 19 目 录 一、引 言. 3 二、DDoS 攻击资源分析 . 4 （一）控制端资源分析. 4 （二）肉鸡资源分析. 7 （三）反射攻击资源分析. 10 1反射服务器资源 . 10 2反射攻击流量来源路由器 . 13 （四）发起伪造流量的路由器分析. 14 1. 跨域伪造流量来源路由器 . 14 2. 本地伪造流量来源路由器 . 17 2017 年我国 DDoS 攻击资源分析报告 3 / 19 一、引 言 近期，CNCERT 深度分析

2、了我国大陆地区发生的数千起DDoS（分布式拒绝服务）攻击事件。本报告围绕互联网环境威胁治枞问题，对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、 控制端资源， 指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。 2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。 3、 反射服务器资源， 指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务， 不需要进行认证并且具有放大效果， 又在互联网上大量部署（如 DNS 服务器，NTP 服务器等） ，它们就可能成为被

3、利用发起 DDoS 攻击的网络资源。 4、 反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP 地址，因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。 由于反射攻击形式特殊，本报告将反射攻击流量来源路由器单独统计。 5、 跨域伪造流量来源路由器， 是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证， 因此跨域伪造流量的存在， 说明该路由器或其下2017 年我国 DDoS 攻击资源分析报告 4 / 19 路由器的源地址验证配置可能存在缺陷。 且该路由器下的网络中存在发动 D

4、DoS 攻击的设备。 6、 本地伪造流量来源路由器， 是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。 在本报告中， 一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击， 但间隔为 24 小时或更多， 则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地枞位置由它的 IP 地址定位得到。 二、DDoS 攻击资源分析 （一）控制端资源分析 根据 CNCERT 监测数据，今年以来，利用肉鸡

5、发起 DDoS攻击的控制端总量为 25,532 个。发起的攻击次数呈现幂律分布，如图 1 所示。平均每个控制端发起过 7.7 次攻击。 图 1 控制端利用肉鸡发起位于境外的控制端按国家或地区分布占 10.1%；其次是韩国和中国台湾图 2 发起 DDoS位于境内的控制端12.2%；其次是江苏2017 年我国 DDoS 攻击资源分析报告 5 / 19 控制端利用肉鸡发起 DDoS 攻击的事件次数呈幂律分布位于境外的控制端按国家或地区分布， 美国占的比例最大韩国和中国台湾，如图 2 所示。DDoS 攻击的境外控制端数量按国家或地区 TOP30控制端按省份统计， 广东省占的比例最大江苏省、四川省和浙江

6、省，如图 3 所示 攻击的事件次数呈幂律分布 占的比例最大，。 TOP30 占的比例最大， 占所示。 图 3 发起控制端发起攻击的天次总体呈现幂律分布平均每个控制端在制端在 119 天范围内发起图 4 控制端尝试发起制端在今年的 1.19在至少连续 7 个月次2017 年我国 DDoS 攻击资源分析报告 6 / 19 发起 DDoS 攻击的境内控制端数量按省份分布 攻击的天次总体呈现幂律分布，如图1.51 天被尝试发起了 DDoS 攻击天范围内发起了攻击，占总监测天数的 4 控制端尝试发起攻击天次呈现幂律分布 控制端尝试发起攻击的月次情况如表 1 所示。个月发起了 DDoS 攻击， 有 3 个