2022年我国DDoS行业分析（2021年第4季度） 细分DDoS攻击资源分析

一、DDoS

（一）攻击资源定义

本报告为 2021 年第 4 季度的 DDoS 攻击资源分析报告。 围绕互联网环境威胁治理问题，基于 CNCERT 监测的 DDoS 攻击事件数据进行抽样分析，重点对“DDoS 攻击是从哪些网 络资源上发起的”这个问题进行分析。主要分析的攻击资源包 括：

1、 控制端资源，指用来控制大量的僵尸主机节点向攻击 目标发起 DDoS 攻击的僵尸网络控制端。

2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS 攻击的僵尸主机节点。

3、 反射服务器资源，指能够被黑客利用发起反射攻击的 服务器、主机等设施，它们提供的某些网络服务（如 DNS 服 务器，NTP 服务器等），不需要进行认证并且具有放大效果， 又在互联网上大量部署，从而成为被利用发起 DDoS 反射攻击 的网络资源。

4、 跨域伪造流量来源路由器，是指转发了大量任意伪造 IP 攻击流量的路由器。由于我国要求运营商在接入网上进行 源地址验证，因此跨域伪造流量的存在，说明该路由器或其下 路由器的源地址验证配置可能存在缺陷，且该路由器下的网络 中存在发动 DDoS 攻击的设备。

5、 本地伪造流量来源路由器，是指转发了大量伪造本区 域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动 DDoS 攻击的设备。

在本报告中，一次 DDoS 攻击事件是指在经验攻击周期 内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周 期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资 源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次 攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址， 它们的地理位置由它的 IP 地址定位得到。

（二）本季度重点关注情况

1、本季度利用肉鸡发起攻击的活跃控制端中，境外控制 端按国家和地区统计，最多位于美国、荷兰和德国；境内控制 端按省份统计，最多位于北京市、山东省和福建省，按归属运 营商统计，电信占比最大，境内活跃控制端数量相比第 3 季度 有所增加。

2、本季度参与攻击的活跃境内肉鸡中，按省份统计最多 位于山东省、浙江省和重庆市；按归属运营商统计，联通占比 最大。

3、本季度被利用参与 SSDP 反射攻击的活跃境内反射服 务器中，按省份统计排名前三名的省份是浙江省、辽宁省和广 东省，数量最多的归属运营商是电信。本季度被利用参与 NTP 反射攻击的活跃境内反射服务器中，按省份统计排名前三名 的省份是湖北省、浙江省和河南省，数量最多的归属运营商是 电信。本季度被利用参与 Memcached 反射攻击的活跃境内反 射服务器中，按省份统计排名前三名的省份是广东省、山东省、 和河北省，数量最多的归属运营商是移动。本季度被利用参与 SSDP 反射攻击的反射服务器最多。

4、本季度转发伪造跨域攻击流量的路由器中，位于北京 市、陕西省和甘肃省的路由器数量最多。本季度转发伪造本地 攻击流量的路由器中，位于湖南省、河南省和江苏省的路由器 数量最多。

二、DDoS 攻击资源分析

（一）控制端资源分析

2021 年第 4 季度 CNCERT 监测发现，利用肉鸡发起 DD oS 攻击的活跃控制端有 549 个，其中境外控制端占比 95.1%、 云平台控制端占比 75.2%，如图 1 所示。境内控制端有 27 个， 相比第 3 季度数量有所增加

位于境外的控制端按国家或地区统计，排名前三位的分别 为美国（41.6%）、荷兰（10.3%）和德国（9.0%）。

位于境内的控制端按省份统计，排名前三位的分别为北京 市（25.9%）、山东省（14.8%）和福建省（7.4%）；按运营商 统计，电信占 25.9%，联通占 22.2%，其他占 51.9%。

境内控制端中位于云平台的控制端共 22 个，其中腾讯云 占 32%，阿里云占 18.2%，亿速云占 4.5%，其他占 45.5%。

（二）肉鸡资源分析

2021 年第 4 季度 CNCERT 监测发现，参与真实地址攻击 （包含真实地址攻击与反射攻击等其他攻击的混合攻击）的肉 鸡 666515 个，其中境内肉鸡占比 95.1%、云平台肉鸡占比 2. 9%。

位于境外的肉鸡按国家或地区统计，排名前三位的分别为 日本（18.2%）、美国（12.5%）和越南（6.3%）。

位于境内的肉鸡按省份统计，排名前三位的分别为山东省 （14.3%）、浙江市（10.7%）和重庆省（8.4%）；按运营商统 计，联通占 49.2%，电信占 44.6%，移动占 4.0%，其他占 2. 3%。

境内肉鸡中位于云平台的肉鸡共 16053 个，其中阿里云占 38.3%，腾讯云占 25.7%，华为云占 3.7%，百度云占 2.6%，其 他占 29.7%。

（三）反射攻击资源分析

2021 年第 4 季度 CNCERT 监测发现，参与反射攻击的三 类重点反射服务器1318074台，SSDP反射服务器占比77.4%， NTP 反射服务器占比 18.8%，Memcached 反射服务器占比 3. 8%，其中境内反射服务器占比 86.2%。

（1）SSDP 反射服务器资源

SSDP 反射攻击利用了 SSDP（一种应用层协议，是构成 通用即插即用(UPnP)技术的核心协议之一）服务器存在的协议 脆弱性，攻击者通过向 SSDP 服务器 IP 地址的默认端口 1900 发送伪造受害者 IP 地址的查询请求，使 SSDP 服务器向受害 者 IP 地址返回比原始数据包大数倍的应答数据包，从而进行 反射攻击。

2021 年第 4 季度 CNCERT 监测发现，参与反射攻击的 S SDP反射服务器 1020283 个，其中境内反射服务器占比 96.8%、 云平台反射服务器占比 0.1%，。

位于境外的反射服务器按国家或地区统计，排名前三位的 分别为加拿大（17.8%）、中国台湾（13.6%）和俄罗斯（12. 7%）。

位于境内的反射服务器按省份统计，排名前三位的分别为 浙江省（18.9%）、辽宁省（13.8%）和广东省（13.7%）；按 运营商统计，电信占 57.8%，联通占 40.4%，移动占 1.4%。

境内的 SSDP 反射服务器中位于云平台的服务器共 870 个，其中腾讯云占 6%，阿里云占 5.9%，其他占 88.2%。

（2）NTP 反射服务器资源

NTP 反射攻击利用了 NTP（一种通过互联网服务与计算 机时钟同步的协议）服务器存在的协议脆弱性，攻击者通过向 NTP 服务器 IP 地址的默认端口 123 发送伪造受害者 IP 地址 的 Monlist 指令数据包，使 NTP 服务器向受害者 IP 地址返回 比原始数据包大数倍的数据，从而进行反射攻击。

2021 年第 4 季度 CNCERT 监测发现，参与反射攻击的 N TP 反射服务器 247537 个，其中境内反射服务器占比 40.2%、 云平台反射服务器占比 4.8%。

位于境外的反射服务器按国家或地区统计，排名前三位的 分别为越南（64.4%）、巴西（10.3%）和中国香港（2.6%）。

位于境内的反射服务器按省份统计，排名前三位的分别为 湖北省（22.7%）、浙江省（15.5%）和河南省（12.9%）；按 运营商统计，电信占 43.5%，联通占 40.3%，移动占 15.0%。

境内的 NTP 反射服务器中位于云平台的服务器共 8203 个，其中腾讯云占 6.4%，华为云占 0.8%，阿里云占 0.4%，其 他占 92.4%。

（3）Memcached 反射服务器资源

Memcached 反射攻击利用了在互联网上暴露的大批量 M emcached 服务器（一种分布式缓存系统）存在的认证和设计 缺陷，攻击者通过向 Memcached 服务器 IP 地址的默认端口 1 1211 发送伪造受害者 IP 地址的特定指令 UDP 数据包，使 Me mcached 服务器向受害者 IP 地址返回比请求数据包大数倍的 数据，从而进行反射攻击。

2021 年第 4 季度 CNCERT 监测发现，参与反射攻击的 M emcached 反射服务器 50254 个，其中境内反射服务器占比 96. 4%、云平台反射服务器占比 2.9%。

位于境外的反射服务器按国家或地区统计，排名前三位的 分别为美国（19.7%）、法国（11.8%）和德国（9.1%）。

位于境内的反射服务器按省份统计，排名前三位的分别为 广东省（28.3%）、山东省（17.8%）和河北省（5.7%）；按运 营商统计，移动占 45.8%，电信占 37.6%，联通占 15.2%。

境内的 Memcached 反射服务器中位于云平台的服务器共 619 个，其中阿里云占 42.8%，腾讯云占 46.3%，百度云占 5%， 华为云占 2.4%，其他占 33.4%。

（四）转发伪造流量的路由器分析

（1）跨域伪造流量来源路由器

2021 年第 4 季度 CNCERT 监测发现，转发跨域伪造流量 的路由器 19 个；按省份统计，排名前三位的分别为北京市（4 7.4%）、陕西省（21.1%）和甘肃省（10.5%）；按运营商统计， 电信占 63.2%，联通占 21.1%，移动占 15.8%。

（2）本地伪造流量来源路由器

2021 年第 4 季度 CNCERT 监测发现，转发本地伪造流量 的路由器 449 个；按省份统计，排名前三位的分别为湖南省（1 0.7%）、河南省（9.8%）和江苏省（9.8%）；按运营商统计， 电信占 69.3%，联通占 17.8%，移动占 12.9%。

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）