2017年12月25日国家计算机网络应急技术处理协调中心发布了2017 年我国DDoS 攻击资源分析报告。
。本报告围绕互联网环境威胁治理问题,对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、 控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS 攻击的木马或僵尸网络控制端。
2、 肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、 反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS 服务器,NTP 服务器等),它们就可能成为
被利用发起DDoS 攻击的网络资源。
4、 反射攻击流量来源路由器是指转发了大量反射攻击发起流量的运营商路由器。由于反射攻击发起流量需要伪造IP 地址,因此反射攻击流量来源路由器本质上也是跨域伪造流量来源路由器或本地伪造流量来源路由器。由于反射攻击形式特殊,本报告将反射攻击流量来源路由器单独统计。
5、 跨域伪造流量来源路由器,是指转发了大量任意伪造
IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷。且该路由器下的网络中存在发动DDoS 攻击的设备。
6、 本地伪造流量来源路由器,是指转发了大量伪造本区
域IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。
在本报告中,一次DDoS 攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS 攻击,攻击周期时长不超过24 小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24 小时或更多,则该事件被认为是两次攻击。此外,DDoS 攻击资源及攻击目标地址均指其IP 地址,它们的地理位置由它的IP 地址定位得到。
部分数字统计:境内反射攻击流量击事件的数量统计
2017 年我国DDoS 攻击资源分析报告
图14 发起反射放大攻击事件的流量来源路由器按事件
根据发起反射攻击事件
2017 年我国DDoS 攻击资源分析报告还指出,反射服务器数量按运营商分布主要来源于412 个路由器,归属于国际口的某路由器发起的攻击事件其次是河北省、北京市、天津的路由器。
下载:PDF版本2017 年我国DDoS 攻击资源分析报告