姜鵬

1.本月利用memcached服務(wù)器實施反射攻擊的事件大幅上升，自2月21日開始在我國境內(nèi)尤為活躍。2月被利用發(fā)起memcached反射攻擊境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計排名前三名的省份是廣東省、浙江省和北京市；數(shù)量最多的歸屬云服務(wù)商是阿里云。反射攻擊發(fā)起流量來源路由器根據(jù)轉(zhuǎn)發(fā)攻擊事件的數(shù)量統(tǒng)計，最多的路由器歸屬于安徽省移動、上海市移動、和北京市電信。

2. 2月被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計排名前三名的省份是河南省、北京市和河北??；數(shù)量最多的歸屬運營商是聯(lián)通。反射攻擊發(fā)起流量來源路由器根據(jù)轉(zhuǎn)發(fā)攻擊事件的數(shù)量統(tǒng)計，最多的路由器歸屬于遼寧省電信、浙江省電信和浙江省聯(lián)通。

3. 2月被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計排名前三名的省份是山東省、遼寧省和河北?。粩?shù)量最多的歸屬運營商是聯(lián)通。而反射攻擊發(fā)起流量來源路由器根據(jù)轉(zhuǎn)發(fā)攻擊事件的數(shù)量統(tǒng)計，最多的路由器歸屬于北京市電信、天津市電信和遼寧省移動。

攻擊資源定義

近日，利用memcached服務(wù)器實施反射DDoS攻擊的事件大幅上升。CNCERT對三類重點反射攻擊事件進行了集中監(jiān)測和分析，本報告為2018年2月份的反射攻擊資源專項分析報告。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問題，重點對“被利用發(fā)起DDoS反射攻擊的重要網(wǎng)絡(luò)資源有哪些”這個問題進行分析。

反射攻擊的網(wǎng)絡(luò)資源包括：

1.反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機等設(shè)施，它們提供的網(wǎng)絡(luò)服務(wù)中，如果存在某些網(wǎng)絡(luò)服務(wù)，不需要進行認(rèn)證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署（如DNS服務(wù)器，NTP服務(wù)器等），它們就可能成為被利用發(fā)起DDoS攻擊的網(wǎng)絡(luò)資源。

2.反射攻擊發(fā)起流量來源路由器，指轉(zhuǎn)發(fā)了大量反射攻擊發(fā)起流量的運營商路由器。由于反射攻擊發(fā)起流量需要偽造IP地址，因此反射攻擊發(fā)起流量來源路由器本質(zhì)上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由于反射攻擊形式特殊，本報告將反射攻擊發(fā)起流量來源路由器單獨統(tǒng)計。

在報告中，一次DDoS攻擊事件是指在經(jīng)驗攻擊周期內(nèi)，不同的攻擊資源針對固定目標(biāo)的單個DDoS攻擊，攻擊周期時長不超過24小時。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊，但間隔為24小時或更多，則該事件被認(rèn)為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

反射攻擊資源總情況分析

1.反射服務(wù)器資源分析

根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù)，2018年2月，利用反射服務(wù)器發(fā)起的三類重點反射攻擊共涉及2 252 085臺反射服務(wù)器，其中境內(nèi)反射服務(wù)器1 804 807臺，境外反射服務(wù)器447 278臺。反射攻擊所利用memcached反射服務(wù)器發(fā)起反射攻擊的反射服務(wù)器有45 412臺，占比2.0%，其中境內(nèi)反射服務(wù)器16 594臺，境外反射服務(wù)器28 818臺；利用NTP反射發(fā)起反射攻擊的反射服務(wù)器有32 693臺，占比1.5%，其中境內(nèi)反射服務(wù)器3 806臺，境外反射服務(wù)器28 887臺；利用SSDP反射發(fā)起反射攻擊的反射服務(wù)器有2 173 980臺，占96.5%，其中境內(nèi)反射服務(wù)器1 784 407臺，境外反射服務(wù)器389 573臺。

三種重點反射攻擊類型根據(jù)所利用的反射服務(wù)器數(shù)量統(tǒng)計，占比最多的是SSDP反射攻擊，占96.5%；根據(jù)攻擊事件數(shù)量統(tǒng)計，占比最多的也是SSDP反射攻擊，占51.9%。

2. memchache反射服務(wù)器反射攻擊資源分析

（1）反射服務(wù)器資源

Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量memcached服務(wù)器（一種分布式緩存系統(tǒng)）存在的認(rèn)證和設(shè)計缺陷，攻擊者通過向memcached服務(wù)器IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包，使memcached服務(wù)器向受害者IP地址返回比請求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進行反射攻擊。

根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù)，2018年2月，利用memcached服務(wù)器實施反射攻擊的事件共涉及境內(nèi)16 594臺反射服務(wù)器，境外28 818臺反射服務(wù)器。本月此類事件涉及的反射服務(wù)器數(shù)量趨勢圖，比照后發(fā)現(xiàn)自2月21日開始被利用發(fā)起攻擊的反射服務(wù)器數(shù)量上升明顯。

2月境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計，廣東省占的比例最大，占24.1%，其次是浙江省、北京市和山東??；按歸屬運營商或云服務(wù)商統(tǒng)計，阿里云占的比例最大，占35.9%，電信占比31.3%，聯(lián)通占比11.7%，移動占比8.2%。

本月境外反射服務(wù)器數(shù)量按國家或地區(qū)統(tǒng)計，美國占的比例最大，占29.8%，其次是日本、法國和俄羅斯。

為防止memchached反射攻擊事件蔓延，CNCERT從事件爆發(fā)開始，密切關(guān)注事件的演變情況，并在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，組織各省分中心集中開展應(yīng)急響應(yīng)工作，截止3月初通報處置了1.4萬個已被利用發(fā)起攻擊或探測掃描的memcached服務(wù)器。本月境內(nèi)發(fā)起反射攻擊事件數(shù)量TOP100中目前仍存活的memcached服務(wù)器及歸屬，位于上海市和浙江省的地址最多。

（2）反射攻擊發(fā)起流量來源路由器

2018年2月，境內(nèi)利用memcached服務(wù)器實施反射攻擊的發(fā)起流量主要來源于626個路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，歸屬于安徽省移動的路由器（120.X.X.2、120.X.X. 1）涉及的攻擊事件最多，其次是歸屬于上海市移動（211.X.X. 203）和北京市電信（202.X.X.17）的路由器。

根據(jù)反射發(fā)起攻擊流量的來源路由器數(shù)量按省份統(tǒng)計，北京市占的比例最大，占18.4%，其次是廣東省、江蘇省和四川?。话捶瓷浒l(fā)起攻擊流量的來源路由器數(shù)量按歸屬運營商統(tǒng)計，聯(lián)通占的比例最大，占30.9%，移動占比29.8%，電信占比24.3%。

3. NTP反射攻擊資源分析

（1）反射服務(wù)器資源

NTP反射攻擊利用了NTP（一種通過互聯(lián)網(wǎng)服務(wù)于計算機時鐘同步的協(xié)議）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向NTP服務(wù)器IP地址的默認(rèn)端口123發(fā)送偽造受害者IP地址的Monlist指令數(shù)據(jù)包，使NTP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進行反射攻擊。

根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù)，2018年2月，NTP反射攻擊事件共涉及我國境內(nèi)3 806臺反射服務(wù)器，境外28 887反射臺服務(wù)器。

2月被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計，河南省占的比例最大，占17.7%，其次是北京市、河北省和廣東??；按歸屬運營商統(tǒng)計，聯(lián)通占的比例最大，占54.4%，電信占比28.7%，移動占比12.7%。

2月被利用發(fā)起NTP反射攻擊的境外反射服務(wù)器數(shù)量按國家或地區(qū)統(tǒng)計，越南占的比例最大，占11.7%。

2月被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務(wù)器按被利用發(fā)起攻擊數(shù)量排名TOP30及歸屬，位于吉林省和北京市的地址最多。

（2）反射攻擊發(fā)起流量來源路由器

2018年2月，境內(nèi)NTP反射攻擊事件的發(fā)起流量主要來源于111個路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，歸屬于遼寧省電信的路由器（219.X.X.11）涉及的攻擊事件最多，其次是歸屬于浙江省電信（220.X.X.127）、和浙江省聯(lián)通（124.X. X.21）的路由器。

根據(jù)發(fā)起NTP反射攻擊流量的來源路由器數(shù)量按省份統(tǒng)計，廣東省占的比例最大，占23.4%，其次是北京市、內(nèi)蒙古和浙江??；按發(fā)起NTP反射攻擊流量的來源路由器數(shù)量按歸屬運營商統(tǒng)計，移動占的比例最大，占39.6%，電信占比30.6%，聯(lián)通占比29.7%。

4. SSDP反射攻擊資源分析

（1）反射服務(wù)器資源

SSDP反射攻擊利用了SSDP（一種應(yīng)用層協(xié)議，是構(gòu)成通用即插即用（UPnP）技術(shù)的核心協(xié)議之一）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向SSDP服務(wù)器IP地址的默認(rèn)端口1900發(fā)送偽造受害者IP地址的ICMP查詢請求，使SSDP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的應(yīng)答數(shù)據(jù)包，從而進行反射攻擊。

根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù)，2018年2月，SSDP反射攻擊事件共涉及境內(nèi)1 784 407臺反射服務(wù)器，境外389 573反射臺服務(wù)器。

2月被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計，山東省占的比例最大，占25.1%，其次是遼寧省、河北省和吉林?。话礆w屬運營商統(tǒng)計，聯(lián)通占的比例最大，占74.4%，電信占比23.3%，移動占比2.0%。

2月被利用發(fā)起SSDP反射攻擊的境外反射服務(wù)器數(shù)量按國家或地區(qū)統(tǒng)計，俄羅斯占的比例最大，占29.7%，其次是美國、加拿大和土耳其。

2月被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務(wù)器按被利用發(fā)起攻擊數(shù)量排名TOP30的反射服務(wù)器及歸屬，地址大量位于黑龍江省。

（2）反射攻擊發(fā)起流量來源路由器

2018年2月，境內(nèi)SSDP反射攻擊事件的發(fā)起流量主要來源于705個路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計，歸屬于北京市電信的路由器（219.X.X.70）涉及的攻擊事件最多，其次是歸屬于北京市電信（219.X.X.45、219.X.X.30、219.X.X. 144）和天津市電信（221.X.X.1、221.X.X.2）的路由器。

根據(jù)發(fā)起SSDP反射攻擊流量的來源路由器數(shù)量按省份統(tǒng)計，北京市占的比例最大，占12.5%，其次是廣東省、湖南省和新疆維吾爾自治區(qū)；發(fā)起SSDP反射攻擊流量的來源路由器數(shù)量按歸屬運營商統(tǒng)計，移動占的比例最大，占38.9%，電信占比33.3%，聯(lián)通占比27.8%。

5.反射攻擊受害目標(biāo)統(tǒng)計及治理建議

CNCERT根據(jù)抽樣監(jiān)測分析發(fā)現(xiàn)，2018年2月我國境內(nèi)超過1 500個攻擊目標(biāo)遭受到DDoS反射攻擊，其中，遭受memcached反射攻擊的受害目標(biāo)占比14.3%；遭受NTP反射攻擊的受害目標(biāo)占比34.7%；遭受SSDP反射攻擊的受害目標(biāo)占比51.0%。這些攻擊目標(biāo)按省份分布，其中浙江省占比最大，占21.3%；其次是江蘇省、廣東省和福建省。

目前，在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，CNCERT組織各省分中心、運營商、安全企業(yè)、云服務(wù)商等持續(xù)開展DDoS攻擊資源治理工作，要求各單位對發(fā)現(xiàn)被用于反射攻擊的服務(wù)器、電腦主機和智能設(shè)備及時進行通知處理，要求運營商加強對虛假源地址流量的精細(xì)化整治工作。此外，建議用戶及相關(guān)使用單位提高網(wǎng)絡(luò)安全意識和安全防護能力，及時更新升級固件或服務(wù)程序、修復(fù)漏洞，規(guī)范安全配置。針對無需提供公開互聯(lián)網(wǎng)服務(wù)的服務(wù)器、電腦主機和智能設(shè)備，建議直接關(guān)閉DNS、SSDP、NTP、SNMP、Chargen、Memcached等服務(wù)，或在防火墻或網(wǎng)絡(luò)出入口上封禁外部IP訪問這些服務(wù)端口。針對需要對指定IP提供服務(wù)的，可通過配置防火墻等訪問控制策略允許授權(quán)IP的訪問并禁止其他IP的訪問，另外Memcached等部分服務(wù)也可通過更改默認(rèn)服務(wù)端口或更改傳輸協(xié)議類型為TCP等方式來預(yù)防反射攻擊。針對需要提供公開互聯(lián)網(wǎng)服務(wù)的，可根據(jù)反射攻擊的特點，對特定反射攻擊指令的報文流量進行監(jiān)測識別和過濾、對反射攻擊的偽造源IP地址進行監(jiān)測識別和限速、限流、攔截。