姜鵬

1.本月利用memcached服務(wù)器實(shí)施反射攻擊的事件大幅上升，自2月21日開始在我國(guó)境內(nèi)尤為活躍。2月被利用發(fā)起memcached反射攻擊境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計(jì)排名前三名的省份是廣東省、浙江省和北京市；數(shù)量最多的歸屬云服務(wù)商是阿里云。反射攻擊發(fā)起流量來源路由器根據(jù)轉(zhuǎn)發(fā)攻擊事件的數(shù)量統(tǒng)計(jì)，最多的路由器歸屬于安徽省移動(dòng)、上海市移動(dòng)、和北京市電信。

2. 2月被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計(jì)排名前三名的省份是河南省、北京市和河北省；數(shù)量最多的歸屬運(yùn)營(yíng)商是聯(lián)通。反射攻擊發(fā)起流量來源路由器根據(jù)轉(zhuǎn)發(fā)攻擊事件的數(shù)量統(tǒng)計(jì)，最多的路由器歸屬于遼寧省電信、浙江省電信和浙江省聯(lián)通。

3. 2月被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計(jì)排名前三名的省份是山東省、遼寧省和河北??；數(shù)量最多的歸屬運(yùn)營(yíng)商是聯(lián)通。而反射攻擊發(fā)起流量來源路由器根據(jù)轉(zhuǎn)發(fā)攻擊事件的數(shù)量統(tǒng)計(jì)，最多的路由器歸屬于北京市電信、天津市電信和遼寧省移動(dòng)。

攻擊資源定義

近日，利用memcached服務(wù)器實(shí)施反射DDoS攻擊的事件大幅上升。CNCERT對(duì)三類重點(diǎn)反射攻擊事件進(jìn)行了集中監(jiān)測(cè)和分析，本報(bào)告為2018年2月份的反射攻擊資源專項(xiàng)分析報(bào)告。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問題，重點(diǎn)對(duì)“被利用發(fā)起DDoS反射攻擊的重要網(wǎng)絡(luò)資源有哪些”這個(gè)問題進(jìn)行分析。

反射攻擊的網(wǎng)絡(luò)資源包括：

1.反射服務(wù)器資源，指能夠被黑客利用發(fā)起反射攻擊的服務(wù)器、主機(jī)等設(shè)施，它們提供的網(wǎng)絡(luò)服務(wù)中，如果存在某些網(wǎng)絡(luò)服務(wù)，不需要進(jìn)行認(rèn)證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署（如DNS服務(wù)器，NTP服務(wù)器等），它們就可能成為被利用發(fā)起DDoS攻擊的網(wǎng)絡(luò)資源。

2.反射攻擊發(fā)起流量來源路由器，指轉(zhuǎn)發(fā)了大量反射攻擊發(fā)起流量的運(yùn)營(yíng)商路由器。由于反射攻擊發(fā)起流量需要偽造IP地址，因此反射攻擊發(fā)起流量來源路由器本質(zhì)上也是跨域偽造流量來源路由器或本地偽造流量來源路由器。由于反射攻擊形式特殊，本報(bào)告將反射攻擊發(fā)起流量來源路由器單獨(dú)統(tǒng)計(jì)。

在報(bào)告中，一次DDoS攻擊事件是指在經(jīng)驗(yàn)攻擊周期內(nèi)，不同的攻擊資源針對(duì)固定目標(biāo)的單個(gè)DDoS攻擊，攻擊周期時(shí)長(zhǎng)不超過24小時(shí)。如果相同的攻擊目標(biāo)被相同的攻擊資源所攻擊，但間隔為24小時(shí)或更多，則該事件被認(rèn)為是兩次攻擊。此外，DDoS攻擊資源及攻擊目標(biāo)地址均指其IP地址，它們的地理位置由它的IP地址定位得到。

反射攻擊資源總情況分析

1.反射服務(wù)器資源分析

根據(jù)CNCERT抽樣監(jiān)測(cè)數(shù)據(jù)，2018年2月，利用反射服務(wù)器發(fā)起的三類重點(diǎn)反射攻擊共涉及2 252 085臺(tái)反射服務(wù)器，其中境內(nèi)反射服務(wù)器1 804 807臺(tái)，境外反射服務(wù)器447 278臺(tái)。反射攻擊所利用memcached反射服務(wù)器發(fā)起反射攻擊的反射服務(wù)器有45 412臺(tái)，占比2.0%，其中境內(nèi)反射服務(wù)器16 594臺(tái)，境外反射服務(wù)器28 818臺(tái)；利用NTP反射發(fā)起反射攻擊的反射服務(wù)器有32 693臺(tái)，占比1.5%，其中境內(nèi)反射服務(wù)器3 806臺(tái)，境外反射服務(wù)器28 887臺(tái)；利用SSDP反射發(fā)起反射攻擊的反射服務(wù)器有2 173 980臺(tái)，占96.5%，其中境內(nèi)反射服務(wù)器1 784 407臺(tái)，境外反射服務(wù)器389 573臺(tái)。

三種重點(diǎn)反射攻擊類型根據(jù)所利用的反射服務(wù)器數(shù)量統(tǒng)計(jì)，占比最多的是SSDP反射攻擊，占96.5%；根據(jù)攻擊事件數(shù)量統(tǒng)計(jì)，占比最多的也是SSDP反射攻擊，占51.9%。

2. memchache反射服務(wù)器反射攻擊資源分析

（1）反射服務(wù)器資源

Memcached反射攻擊利用了在互聯(lián)網(wǎng)上暴露的大批量memcached服務(wù)器（一種分布式緩存系統(tǒng)）存在的認(rèn)證和設(shè)計(jì)缺陷，攻擊者通過向memcached服務(wù)器IP地址的默認(rèn)端口11211發(fā)送偽造受害者IP地址的特定指令UDP數(shù)據(jù)包，使memcached服務(wù)器向受害者IP地址返回比請(qǐng)求數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進(jìn)行反射攻擊。

根據(jù)CNCERT抽樣監(jiān)測(cè)數(shù)據(jù)，2018年2月，利用memcached服務(wù)器實(shí)施反射攻擊的事件共涉及境內(nèi)16 594臺(tái)反射服務(wù)器，境外28 818臺(tái)反射服務(wù)器。本月此類事件涉及的反射服務(wù)器數(shù)量趨勢(shì)圖，比照后發(fā)現(xiàn)自2月21日開始被利用發(fā)起攻擊的反射服務(wù)器數(shù)量上升明顯。

2月境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計(jì)，廣東省占的比例最大，占24.1%，其次是浙江省、北京市和山東??；按歸屬運(yùn)營(yíng)商或云服務(wù)商統(tǒng)計(jì)，阿里云占的比例最大，占35.9%，電信占比31.3%，聯(lián)通占比11.7%，移動(dòng)占比8.2%。

本月境外反射服務(wù)器數(shù)量按國(guó)家或地區(qū)統(tǒng)計(jì)，美國(guó)占的比例最大，占29.8%，其次是日本、法國(guó)和俄羅斯。

為防止memchached反射攻擊事件蔓延，CNCERT從事件爆發(fā)開始，密切關(guān)注事件的演變情況，并在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，組織各省分中心集中開展應(yīng)急響應(yīng)工作，截止3月初通報(bào)處置了1.4萬個(gè)已被利用發(fā)起攻擊或探測(cè)掃描的memcached服務(wù)器。本月境內(nèi)發(fā)起反射攻擊事件數(shù)量TOP100中目前仍存活的memcached服務(wù)器及歸屬，位于上海市和浙江省的地址最多。

（2）反射攻擊發(fā)起流量來源路由器

2018年2月，境內(nèi)利用memcached服務(wù)器實(shí)施反射攻擊的發(fā)起流量主要來源于626個(gè)路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)，歸屬于安徽省移動(dòng)的路由器（120.X.X.2、120.X.X. 1）涉及的攻擊事件最多，其次是歸屬于上海市移動(dòng)（211.X.X. 203）和北京市電信（202.X.X.17）的路由器。

根據(jù)反射發(fā)起攻擊流量的來源路由器數(shù)量按省份統(tǒng)計(jì)，北京市占的比例最大，占18.4%，其次是廣東省、江蘇省和四川?。话捶瓷浒l(fā)起攻擊流量的來源路由器數(shù)量按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占的比例最大，占30.9%，移動(dòng)占比29.8%，電信占比24.3%。

3. NTP反射攻擊資源分析

（1）反射服務(wù)器資源

NTP反射攻擊利用了NTP（一種通過互聯(lián)網(wǎng)服務(wù)于計(jì)算機(jī)時(shí)鐘同步的協(xié)議）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向NTP服務(wù)器IP地址的默認(rèn)端口123發(fā)送偽造受害者IP地址的Monlist指令數(shù)據(jù)包，使NTP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的數(shù)據(jù)，從而進(jìn)行反射攻擊。

根據(jù)CNCERT抽樣監(jiān)測(cè)數(shù)據(jù)，2018年2月，NTP反射攻擊事件共涉及我國(guó)境內(nèi)3 806臺(tái)反射服務(wù)器，境外28 887反射臺(tái)服務(wù)器。

2月被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計(jì)，河南省占的比例最大，占17.7%，其次是北京市、河北省和廣東??；按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占的比例最大，占54.4%，電信占比28.7%，移動(dòng)占比12.7%。

2月被利用發(fā)起NTP反射攻擊的境外反射服務(wù)器數(shù)量按國(guó)家或地區(qū)統(tǒng)計(jì)，越南占的比例最大，占11.7%。

2月被利用發(fā)起NTP反射攻擊的境內(nèi)反射服務(wù)器按被利用發(fā)起攻擊數(shù)量排名TOP30及歸屬，位于吉林省和北京市的地址最多。

（2）反射攻擊發(fā)起流量來源路由器

2018年2月，境內(nèi)NTP反射攻擊事件的發(fā)起流量主要來源于111個(gè)路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)，歸屬于遼寧省電信的路由器（219.X.X.11）涉及的攻擊事件最多，其次是歸屬于浙江省電信（220.X.X.127）、和浙江省聯(lián)通（124.X. X.21）的路由器。

根據(jù)發(fā)起NTP反射攻擊流量的來源路由器數(shù)量按省份統(tǒng)計(jì)，廣東省占的比例最大，占23.4%，其次是北京市、內(nèi)蒙古和浙江?。话窗l(fā)起NTP反射攻擊流量的來源路由器數(shù)量按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，移動(dòng)占的比例最大，占39.6%，電信占比30.6%，聯(lián)通占比29.7%。

4. SSDP反射攻擊資源分析

（1）反射服務(wù)器資源

SSDP反射攻擊利用了SSDP（一種應(yīng)用層協(xié)議，是構(gòu)成通用即插即用（UPnP）技術(shù)的核心協(xié)議之一）服務(wù)器存在的協(xié)議脆弱性，攻擊者通過向SSDP服務(wù)器IP地址的默認(rèn)端口1900發(fā)送偽造受害者IP地址的ICMP查詢請(qǐng)求，使SSDP服務(wù)器向受害者IP地址反射返回比原始數(shù)據(jù)包大數(shù)倍的應(yīng)答數(shù)據(jù)包，從而進(jìn)行反射攻擊。

根據(jù)CNCERT抽樣監(jiān)測(cè)數(shù)據(jù)，2018年2月，SSDP反射攻擊事件共涉及境內(nèi)1 784 407臺(tái)反射服務(wù)器，境外389 573反射臺(tái)服務(wù)器。

2月被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務(wù)器數(shù)量按省份統(tǒng)計(jì)，山東省占的比例最大，占25.1%，其次是遼寧省、河北省和吉林??；按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占的比例最大，占74.4%，電信占比23.3%，移動(dòng)占比2.0%。

2月被利用發(fā)起SSDP反射攻擊的境外反射服務(wù)器數(shù)量按國(guó)家或地區(qū)統(tǒng)計(jì)，俄羅斯占的比例最大，占29.7%，其次是美國(guó)、加拿大和土耳其。

2月被利用發(fā)起SSDP反射攻擊的境內(nèi)反射服務(wù)器按被利用發(fā)起攻擊數(shù)量排名TOP30的反射服務(wù)器及歸屬，地址大量位于黑龍江省。

（2）反射攻擊發(fā)起流量來源路由器

2018年2月，境內(nèi)SSDP反射攻擊事件的發(fā)起流量主要來源于705個(gè)路由器，根據(jù)參與攻擊事件的數(shù)量統(tǒng)計(jì)，歸屬于北京市電信的路由器（219.X.X.70）涉及的攻擊事件最多，其次是歸屬于北京市電信（219.X.X.45、219.X.X.30、219.X.X. 144）和天津市電信（221.X.X.1、221.X.X.2）的路由器。

根據(jù)發(fā)起SSDP反射攻擊流量的來源路由器數(shù)量按省份統(tǒng)計(jì)，北京市占的比例最大，占12.5%，其次是廣東省、湖南省和新疆維吾爾自治區(qū)；發(fā)起SSDP反射攻擊流量的來源路由器數(shù)量按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，移動(dòng)占的比例最大，占38.9%，電信占比33.3%，聯(lián)通占比27.8%。

5.反射攻擊受害目標(biāo)統(tǒng)計(jì)及治理建議

CNCERT根據(jù)抽樣監(jiān)測(cè)分析發(fā)現(xiàn)，2018年2月我國(guó)境內(nèi)超過1 500個(gè)攻擊目標(biāo)遭受到DDoS反射攻擊，其中，遭受memcached反射攻擊的受害目標(biāo)占比14.3%；遭受NTP反射攻擊的受害目標(biāo)占比34.7%；遭受SSDP反射攻擊的受害目標(biāo)占比51.0%。這些攻擊目標(biāo)按省份分布，其中浙江省占比最大，占21.3%；其次是江蘇省、廣東省和福建省。

目前，在工業(yè)和信息化部網(wǎng)絡(luò)安全管理局的指導(dǎo)下，CNCERT組織各省分中心、運(yùn)營(yíng)商、安全企業(yè)、云服務(wù)商等持續(xù)開展DDoS攻擊資源治理工作，要求各單位對(duì)發(fā)現(xiàn)被用于反射攻擊的服務(wù)器、電腦主機(jī)和智能設(shè)備及時(shí)進(jìn)行通知處理，要求運(yùn)營(yíng)商加強(qiáng)對(duì)虛假源地址流量的精細(xì)化整治工作。此外，建議用戶及相關(guān)使用單位提高網(wǎng)絡(luò)安全意識(shí)和安全防護(hù)能力，及時(shí)更新升級(jí)固件或服務(wù)程序、修復(fù)漏洞，規(guī)范安全配置。針對(duì)無需提供公開互聯(lián)網(wǎng)服務(wù)的服務(wù)器、電腦主機(jī)和智能設(shè)備，建議直接關(guān)閉DNS、SSDP、NTP、SNMP、Chargen、Memcached等服務(wù)，或在防火墻或網(wǎng)絡(luò)出入口上封禁外部IP訪問這些服務(wù)端口。針對(duì)需要對(duì)指定IP提供服務(wù)的，可通過配置防火墻等訪問控制策略允許授權(quán)IP的訪問并禁止其他IP的訪問，另外Memcached等部分服務(wù)也可通過更改默認(rèn)服務(wù)端口或更改傳輸協(xié)議類型為TCP等方式來預(yù)防反射攻擊。針對(duì)需要提供公開互聯(lián)網(wǎng)服務(wù)的，可根據(jù)反射攻擊的特點(diǎn)，對(duì)特定反射攻擊指令的報(bào)文流量進(jìn)行監(jiān)測(cè)識(shí)別和過濾、對(duì)反射攻擊的偽造源IP地址進(jìn)行監(jiān)測(cè)識(shí)別和限速、限流、攔截。