一、引言

近期，CNCERT深度分析了我國大陸地區發生的數千起DDoS（分布式拒絕服務）攻擊事件。本報告圍繞互聯網環境威脅治理問題，對“DDoS攻擊是從哪些網絡資源上發起的”這個問題進行分析。主要分析的攻擊資源包括：

1、控制端資源，指用來控制大量的僵尸主機節點向攻擊目標發起DDoS攻擊的木馬或僵尸網絡控制端。

2、肉雞資源，指被控制端利用，向攻擊目標發起DDoS攻擊的僵尸主機節點。

3、反射服務器資源，指能夠被黑客利用發起反射攻擊的服務器、主機等設施，它們提供的網絡服務中，如果存在某些網絡服務，不需要進行認證并且具有放大效果，又在互聯網上大量部署（如DNS服務器，NTP服務器等），它們就可能成為被利用發起DDoS攻擊的網絡資源。

4、反射攻擊流量來源路由器是指轉發了大量反射攻擊發起流量的運營商路由器。由于反射攻擊發起流量需要偽造IP地址，因此反射攻擊流量來源路由器本質上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由于反射攻擊形式特殊，本報告將反射攻擊流量來源路由器單獨統計。

5、跨域偽造流量來源路由器，是指轉發了大量任意偽造IP攻擊流量的路由器。由于我國要求運營商在接入網上進行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷。且該路由器下的網絡中存在發動DDoS攻擊的設備。

6、本地偽造流量來源路由器，是指轉發了大量偽造本區域IP攻擊流量的路由器。說明該路由器下的網絡中存在發動DDoS攻擊的設備。

在本報告中，一次DDoS攻擊事件是指在經驗攻擊周期內，不同的攻擊資源針對固定目標的單個DDoS攻擊，攻擊周期時長不超過24小時。如果相同的攻擊目標被相同的攻擊資源所攻擊，但間隔為24小時或更多，則該事件被認為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

二、DDOS攻擊資源分析

（一）控制端資源分析

根據CNCERT監測數據，今年以來，利用肉雞發起DDoS攻擊的控制端總量為25,532個。發起的攻擊次數呈現冪律分布，如圖1所示。平均每個控制端發起過7.7次攻擊。

圖1 控制端利用肉雞發起DDoS攻擊的事件次數呈冪律分布

位于境外的控制端按國家或地區分布，美國占的比例最大，占10.1%；其次是韓國和中國臺灣，如圖2所示。

圖2 發起DDoS攻擊的境外控制端數量按國家或地區TOP30

位于境內的控制端按省份統計，廣東省占的比例最大，占12.2%；其次是江蘇省、四川省和浙江省，如圖3所示。

控制端發起攻擊的天次總體呈現冪律分布，如圖4所示。平均每個控制端在1.51天被嘗試發起了DDoS攻擊，最多的控制端在119天范圍內發起了攻擊，占總監測天數的五分之二。

圖4 控制端嘗試發起攻擊天次呈現冪律分布

控制端嘗試發起攻擊的月次情況如表1所示。平均每個控制端在今年的1.19個月發起了DDoS攻擊，有3個控制端地址在至少連續7個月次持續發起攻擊。

表1 控制端發起攻擊月次情況

　　（二）肉雞資源分析

根據CNCERT監測數據，利用真實肉雞地址直接攻擊（包含直接攻擊與其它攻擊的混合攻擊）的DDoS攻擊事件占事件總量的80%。其中，共有751,341個真實肉雞地址參與攻擊，涉及193,723個IP地址C段。肉雞地址參與攻擊的次數總體呈現冪律分布，如圖5所示，平均每個肉雞地址參與2.13次攻擊。

圖5 肉雞地址參與攻擊次數呈現冪律分布

參與攻擊最多的肉雞地址為歸屬于山西省運城市聞喜縣聯通的某地址，共參與了690次攻擊。其次是歸屬于安徽省銅陵市銅官區聯通的某地址，共參與了482次攻擊；以及歸屬于貴州省貴陽市云巖區聯通的某地址，共參與了479次攻擊。

這些肉雞按境內省份統計，北京占的比例最大，占9%；其次是山西省、重慶市和浙江省，如圖6所示。按運營商統計，電信占的比例最大，占49.3%，移動占23.4%，聯通占21.8%，如圖7所示。

圖6 肉雞地址數量按省份分布

圖7 肉雞地址數量按運營商分布

肉雞資源參與攻擊的天次總體呈現冪律分布，如圖8所示。平均每個肉雞資源在1.51天被利用發起了DDoS攻擊，最多的肉雞資源在145天范圍內被利用發起攻擊，占總監測天數的五分之三。

圖8 肉雞參與攻擊天次呈現冪律分布

肉雞資源參與攻擊的月次總體情況如表2所示。平均每個肉雞資源在今年的1.11個月被利用發起了DDoS攻擊，有271個肉雞地址在連續8個月次被利用發起攻擊，也就是說，這些肉雞資源在監測月份中每個月都被利用以發起DDoS攻擊，沒有得到有效的清理處置。

表2肉雞參與攻擊月次情況

　　（三）反射攻擊資源分析

1．反射服務器資源

根據CNCERT監測數據，利用反射服務器發起的反射攻擊的DDoS攻擊事件占事件總量的25%，其中，共涉及251,828臺反射服務器，反射服務器被利用以攻擊的次數呈現冪律分布，如圖9所示，平均每臺反射服務器參與1.76次攻擊。

圖9 反射服務器被利用攻擊次數呈現冪律分布

被利用最多發起反射放大攻擊的服務器歸屬于新疆伊犁哈薩克自治州伊寧市移動，共參與了148次攻擊。其次，是歸屬于新疆昌吉回族自治州阜康市移動的某地址，共參與了123次攻擊；以及歸屬于新疆阿勒泰地區阿勒泰市聯通的某地址，共參與了119次攻擊。

反射服務器被利用發起攻擊的天次總體呈現冪律分布，如圖10所示。平均每個反射服務器在1.38天被利用發起了DDoS攻擊，最多的反射服務器在65天范圍內被利用發起攻擊，近占監測總天數的三分之一。

圖10 反射服務器參與攻擊天次呈現冪律分布

反射服務器被利用發起攻擊的月次情況如表3所示。平均每個反射服務器在今年的1.1個月被利用發起了DDoS攻擊，有101個反射服務器在8個月次連續被利用發起攻擊，也就是說，這些反射器在監測月份中每個月都被利用以發起DDoS攻擊。

表3 反射服務器參與攻擊月次情況

反射攻擊所利用的服務端口根據反射服務器數量統計、以及按發起反射攻擊事件數量統計，被利用最多的均為1900端口。被利用發起攻擊的反射服務器中，93.8%曾通過1900號端口發起反射放大攻擊，占反射攻擊事件總量的75.6%。如圖11所示。

根據反射服務器數量按省份統計，新疆占的比例最大，占18.7%；其次是山東省、遼寧省和內蒙古，如圖12所示。按運營商統計，聯通占的比例最大，占47%，電信占比27%，移動占比23.2%，如圖13所示。

圖12 反射服務器數量按省份分布

圖13 反射服務器數量按運營商分布

2．反射攻擊流量來源路由器

境內反射攻擊流量主要來源于412個路由器，根據參與攻擊事件的數量統計，歸屬于國際口的某路由器發起的攻擊事件最多，為227件，其次是歸屬于河北省、北京市、以及天津的路由器，如圖14所示。

圖14 發起反射放大攻擊事件的流量來源路由器按事件TOP25

根據發起反射攻擊事件的來源路由器數量按省份統計，北京市占的比例最大，占10.2%；其次是山東省、廣東省和遼寧省，如圖15所示。按發起反射攻擊事件的來源運營商統計，聯通占的比例最大，占45.1%，電信占比36.4%，移動占比18.5%，如圖16所示。

圖15 反射攻擊流量來源路由器數量按省分布

圖16 反射攻擊流量來源路由器數量按運營商分布

（四）發起偽造流量的路由器分

1.跨域偽造流量來源路由器

根據CNCERT監測數據，包含跨域偽造流量的DDoS攻擊事件占事件總量的49.8%，通過跨域偽造流量發起攻擊的流量來源于379個路由器。根據參與攻擊事件的數量統計，歸屬于吉林省聯通的路由器參與的攻擊事件數量最多，均參與了326件，其次是歸屬于安徽省電信的路由器，如圖17所示。

圖17 跨域偽造流量來源路由器按參與事件數量TOP25

發起跨域偽造流量的路由器參與發起攻擊的天次總體呈現冪律分布，如圖18所示。平均每個路由器在15.5天被發現發起跨域偽造地址流量攻擊，最多的路由器在105天范圍內被發現發起跨域攻擊流量，近占監測總天數的二分之一。

圖18 跨域偽造流量來源路由器參與攻擊天次呈現冪律分布

發起跨域偽造流量的路由器參與發起攻擊的月次情況如表4所示。平均每個路由器在2.7個月次被發現發起跨域偽造地址流量攻擊，14個路由器在連續8個月內被發現發起跨域攻擊流量，也就是說，這些路由器長期多次地被利用發起跨域偽造流量攻擊。

表4跨域偽造流量來源路由器參與攻擊月次情況

跨區域偽造流量涉及路由器按省份分布統計如圖19所示，其中，北京市占的比例最大，占13.2%；其次是江蘇省、山東省、及廣東省。按路由器所屬運營商統計，聯通占的比例最大，占46.7%，電信占比30.6%，移動占比22.7%，如圖20所示。

圖19 跨域偽造流量來源路由器數量按省分布

圖20 跨域偽造流量來源路由器數量按運營商分布

2.本地偽造流量來源路由器

根據CNCERT監測數據，包含本地偽造流量的DDoS攻擊事件占事件總量的51.3%，通過本地偽造流量發起攻擊的流量來源于725個路由器。根據參與攻擊事件的數量統計，歸屬于安徽省電信的路由器參與的攻擊事件數量最多，最多參與了424件，其次是歸屬于陜西省電信的路由器，如圖21所示。

圖21 本地偽造流量來源路由器按參與事件數量TOP25

發起本地偽造流量的路由器參與發起攻擊的天次總體呈現冪律分布，如圖22所示。平均每個路由器在18.3天被發現發起跨域偽造地址流量攻擊，最多的路由器在123天范圍內被發現發起跨域攻擊流量，占監測總天數的二分之一。

圖22 本地偽造流量來源路由器參與攻擊天次呈現冪律分布

發起本地偽造流量的路由器參與發起攻擊的月次總體情況如表5所示。平均每個路由器在3.1個月次被發現發起本地偽造地址流量攻擊，26個路由器在連續8個月內被發現發起本地攻擊流量，也就是說，這些路由器長期多次地被利用發起本地偽造流量攻擊，主要集中在湖北省及江西省。

表5本地偽造流量來源路由器參與攻擊月次情況

本地偽造流量涉及路由器按省份分布統計如圖23所示。其中，江蘇省占的比例最大，占8.7%；其次是北京市、河南省、及廣東省。按路由器所屬運營商統計，電信占的比例最大，占54.2%，如圖24所示。

圖23本地偽造流量來源路由器數量按省分布

圖24本地偽造流量來源路由器數量按運營商分布