一例境外濫用我國境內(nèi)網(wǎng)絡(luò)資源發(fā)起大規(guī)模DDoS攻擊的事件分析

發(fā)布時間:2018-04-23

4月10日,CNCERT監(jiān)測發(fā)現(xiàn)我國互聯(lián)網(wǎng)1900端口多次出現(xiàn)大規(guī)模流量持續(xù)流出的情況。經(jīng)深入分析,確定這是一起境外方向濫用我國境內(nèi)網(wǎng)絡(luò)資源對某國兩個IP發(fā)起大規(guī)模DDoS反射攻擊的事件,峰值流量超過800Gbps。這一事件表明,我國境內(nèi)服務(wù)器的安全防護亟待加強,以避免被用于惡性攻擊事件。

1. DDoS反射攻擊事件發(fā)現(xiàn)       

近日,CNCERT監(jiān)測發(fā)現(xiàn)1900端口在4月10日出現(xiàn)多次流出方向流量暴增的情況,峰值流量超過800Gbps。從流量圖(圖1)中可以看到,在4月10日11:30-16:00和20:10-23:59兩個時段內(nèi)均存在持續(xù)的1900端口流出流量異常情況,疑似出現(xiàn)大規(guī)模DDoS攻擊事件。

1(32).png

圖1 4月10日1900端口流出流量情況

根據(jù)監(jiān)測數(shù)據(jù),發(fā)現(xiàn)兩個境外IP地址受到了來自境內(nèi)大量服務(wù)器1900端口的UDP反射攻擊。 

表1 大規(guī)模異常流量情況

被攻擊IP歸屬地被攻擊端
X.X.144.201境外80
X.X.145.201境外80

從攻擊流量的時序來看,兩個被攻擊IP的流量圖中攻擊流量的形態(tài)極為相似。由此可見,可能為同一組織對兩個IP發(fā)起的攻擊,攻擊峰值流量均超過800Gbps。

2. 反射服務(wù)器反射攻擊資源分析       

根據(jù)CNCERT抽樣監(jiān)測數(shù)據(jù),上述兩例利用1900端口發(fā)起的DDoS反射攻擊事件中,針對X.X.144.201的攻擊共涉及境內(nèi)436,124個反射服務(wù)器,按省份統(tǒng)計,山東省占比最大,為29.0%,其次為遼寧省、浙江省和河北??;按歸屬運營商統(tǒng)計,聯(lián)通占比為59.1%,電信占比為33.9%,移動占比為1.7%。針對X.X.145.201的攻擊共涉及境內(nèi)433,138個反射服務(wù)器。按省份統(tǒng)計山東省為29.0%,其次為遼寧省、浙江省和河北??;按歸屬運營商統(tǒng)計,聯(lián)通占比為59.3%,電信占比為33.7%,移動占比為1.7%。經(jīng)分析發(fā)現(xiàn),兩個IP的攻擊事件中共有365,587個反射服務(wù)器IP重合。

2(21).png

圖2 攻擊X.X.144.201的反射服務(wù)器按省份、運營商分布

3(10).png

圖3 攻擊X.X.145.201的反射服務(wù)器按省份、運營商分布

3. 真實攻擊來源       

本次DDoS反射攻擊偽造被攻擊IP地址向反射服務(wù)器的1900端口發(fā)起UDP請求,通過反射服務(wù)器向被攻擊IP返回放大的流量來對被攻擊IP實施攻擊。因此,以被攻擊IP為源地址的流量來源能反映其真實的攻擊來源。根據(jù)CNCERT分析,本次通過偽造被攻擊IP地址的發(fā)起流量來源基本都位于境外,占全部偽造被攻擊IP地址發(fā)起流量的95%以上。由此可見,該大規(guī)模流量攻擊事件系境外方向濫用我國境內(nèi)網(wǎng)絡(luò)資源發(fā)起的網(wǎng)絡(luò)攻擊。

這一事件也表明,我國應(yīng)加強境內(nèi)服務(wù)器的安全防護工作,關(guān)閉不必要的服務(wù)端口,加強對客戶流量的審計,避免被攻擊者濫用于惡性網(wǎng)絡(luò)攻擊。(來源:CNCERT)


聯(lián)系電話:010-62199788
公司地址:北京市昌平區(qū)七北路TBD云集中心(42號院)16號樓
Copyright 2015-2020 長安通信科技有限責任公司版權(quán)所有 All Rights Reserved 京ICP備13045911號

掃碼關(guān)注

AV综合网站一区,亚洲中文字幕日产乱码高清,日本中文字幕乱码视频在线,无码a级毛片免费视频内谢,久久www免费人成_网站,国产模特私拍福利写真,精精国产XXXX视频在线播放,a在线视频播放免费视