一、引言
近期,CNCERT深度分析了我國大陸地區發生的數千起DDoS(分布式拒絕服務)攻擊事件。本報告圍繞互聯網環境威脅治理問題,對“DDoS攻擊是從哪些網絡資源上發起的”這個問題進行分析。主要分析的攻擊資源包括:
1、控制端資源,指用來控制大量的僵尸主機節點向攻擊目標發起DDoS攻擊的木馬或僵尸網絡控制端。
2、肉雞資源,指被控制端利用,向攻擊目標發起DDoS攻擊的僵尸主機節點。
3、反射服務器資源,指能夠被黑客利用發起反射攻擊的服務器、主機等設施,它們提供的網絡服務中,如果存在某些網絡服務,不需要進行認證并且具有放大效果,又在互聯網上大量部署(如DNS服務器,NTP服務器等),它們就可能成為被利用發起DDoS攻擊的網絡資源。
4、反射攻擊流量來源路由器是指轉發了大量反射攻擊發起流量的運營商路由器。由于反射攻擊發起流量需要偽造IP地址,因此反射攻擊流量來源路由器本質上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由于反射攻擊形式特殊,本報告將反射攻擊流量來源路由器單獨統計。
5、跨域偽造流量來源路由器,是指轉發了大量任意偽造IP攻擊流量的路由器。由于我國要求運營商在接入網上進行源地址驗證,因此跨域偽造流量的存在,說明該路由器或其下路由器的源地址驗證配置可能存在缺陷。且該路由器下的網絡中存在發動DDoS攻擊的設備。
6、本地偽造流量來源路由器,是指轉發了大量偽造本區域IP攻擊流量的路由器。說明該路由器下的網絡中存在發動DDoS攻擊的設備。
在本報告中,一次DDoS攻擊事件是指在經驗攻擊周期內,不同的攻擊資源針對固定目標的單個DDoS攻擊,攻擊周期時長不超過24小時。如果相同的攻擊目標被相同的攻擊資源所攻擊,但間隔為24小時或更多,則該事件被認為是兩次攻擊。此外,DDoS攻擊資源及攻擊目標地址均指其IP地址,它們的地理位置由它的IP地址定位得到。
內容下載文件:2017 年我國DDoS 攻擊資源分析報告.pdf