CNCERT我国DDoS攻击资源月度分析报告（2018年9月）2/ 23目录一、引言 3（一）攻击资源定义........ 3（二）本月重点关注情况 4二、DDoS攻击资源分析 .......... 5（一）控制端资源分析.... 5（二）肉鸡资源分析........ 7（三）反射攻击资源分析.......... 10（四）发起伪造流量的路由器分析...... 201.跨域伪造流量来源路由器 ........ 202.本地伪造流量来源路由器 ........ 21CNCERT CNCERT我国DDoS攻击资源月度分析报告（2018年9月）3/ 23一、引言（一）攻击资源定义本报告为2018年9月份的DDoS攻击资源月度分析报告。 围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击 事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资 源上发起的”这个问题进行分析。主要分析的攻击资源包括：1、 控制端资源，指用来控制大量的僵尸主机节点向攻击 目标发起DDoS攻击的木马或僵尸网络控制端。2、 肉鸡资源，指被控制端利用，向攻击目标发起DDoS 攻击的僵尸主机节点。3、 反射服务器资源，指能够被黑客利用发起反射攻击的 服务器、主机等设施，它们提供的网络服务中，如果存在某些 网络服务，不需要进行认证并且具有放大效果，又在互联网上 大量部署（如DNS服务器，NTP服务器等），它们就可能成为 被利用发起DDoS攻击的网络资源。4、 跨域伪造流量来源路由器，是指转发了大量任意伪造 IP攻击流量的路由器。由于我国要求运营商在接入网上进行 源地址验证，因此跨域伪造流量的存在，说明该路由器或其下 路由器的源地址验证配置可能存在缺陷，且该路由器下的网络 中存在发动DDoS攻击的设备。5、 本地伪造流量来源路由器，是指转发了大量伪造本区 CNCERT我国DDoS攻击资源月度分析报告（2018年9月）4/ 23域IP攻击流量的路由器。说明该路由器下的网络中存在发动 DDoS攻击的设备。在本报告中，一次DDoS攻击事件是指在经验攻击周期内， 不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时 长不超过24小时。如果相同的攻击目标被相同的攻击资源所 攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。 此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的 地理位置由它的IP地址定位得到。（二）本月重点关注情况1、本月利用肉鸡发起DDoS攻击的控制端中，境外控制 端最多位于美国；境内控制端最多位于江苏省，其次是浙江省、 广东省和辽宁省，按归属运营商统计，电信占的比例最大。2、本月参与攻击较多的肉鸡地址主要位于浙江省、山东 省、江苏省和广东省，其中大量肉鸡地址归属于电信运营商。 2018年以来监测到的持续活跃的肉鸡资源中，位于山东省、 广东省、浙江省占的比例最大。3、本月被利用发起Memcached反射攻击境内反射服务 器数量相比上月有上升，按省份统计排名前三名的省份是广东 省、山东省和浙江省；数量最多的归属运营商是电信。占被利 用发起NTP反射攻击的境内反射服务器数量按省份统计排名 前三名的省份是山东省、河北省和湖北省；数量最多的归属运 营商是移动。被利用发起SSDP反射攻击的境内反射服务器数 。。。。。。