DDoS反射放大攻击全球探测分析（上）

ddos反射放大攻击全球探测分析（中）

DDos攻击是一种耗尽资源的网络攻击方式，攻击者通过大流量攻击，有针对性的漏洞攻击等耗尽目标服务器的资源来达到拒绝服务的目的。

DDos攻击是一种耗尽资源的网络攻击方式，攻击者通过大流量攻击，有针对性的漏洞攻击等耗尽目标服务器的资源来达到拒绝服务的目的。

1.DDoS放大攻击概念

反射放大攻击是一种具有巨大攻击力的DDoS攻击方式。攻击者只需要付出少量的代价，即可对需要攻击的目标产生巨大的流量，对网络带宽资源（网络层）、连接资源（传输层）和计算机资源（应用层）造成巨大的压力，2016年10月美国Dyn企业的DNS服务器遭受DDoS攻击，导致美国大范围断网。事后的攻击流量分析显示，DNS反射放大攻击与SYN洪水攻击是作为本次造成美国断网的拒绝服务攻击的主力。由于反射放大攻击危害大，成本低，溯源难，被黑色产业从业者所喜爱。

2.概述

在2017年8月3日到2017年8月6日期间ZoomEye网络空间探测引擎对全网进行第一轮的探测，统计可被利用进行DDoS反射放大攻击的服务器数，发布了《DDoS反射放大攻击全球探测分析-第一版》，之后在2017年8月11日到2017年8月13日期间ZoomEye网络空间探测引擎再次对全网进行了探测，发布了《DDoS反射放大攻击全球探测分析-第二版》。之后在2017年11月13日到2017年11月15日期间，ZoomEye网络空间探测引擎探测到了另一个活动频繁的攻击——CLDAP DDoS反射放大攻击，随后对DDoS反射放大攻击进行了第三轮的探测，发布了《DDoS反射放大攻击全球探测分析-第三版》。

在2018年3月1日，ZoomEye又探测到在网络空间中频繁活动Memcached DRDoS， 进行第四轮对DDoS反射放大攻击的探测。

在年5月6日，ZoomEye又对网络空间种频繁活动的CoAP进行了DDoS反射放大攻击探测，并完善为第五版。

3.第五版放大攻击数据分析

[注：下面数据统计基于第四轮 2018/03/05 与 /05/06 CoAP数据]

2018年3月5日，进行了第四轮探测，ZoomEye网络空间探测引擎在对前面两轮6种DDoS攻击的探测的基础上，增加了对Memcached的探测。年5月6日，在第四轮基础上，增加了对CoAP的探测，并完善为第五版。

通过ZoomEye网络空间探测引擎获取到9万(88,010)台服务器开放了19端口。然后对这9万服务器进行放大倍率的探测，实际上只有1万(10,122)台服务器开启了19点端口，占总数的10.65%。在开启了19端口的服务器中，有6千(6,485)台服务器的放大倍数能够达到10倍以上，占总数的64.07%，剩下的服务器的放大倍数主要集中在2倍。

对放大倍数达到10以上的服务器流量进行统计，我们总共发送了870KB(891,693 byte)的请求流量，得到了71M(74,497,401 byte)响应流量，产生了83倍的放大流量。假设一台服务器1分钟内可以成功响应100个请求数据包，计算得到攻击流量有947Mbits/s。本轮探测对最大放大倍数进行了统计，得到了Chargen协议单次请求响应最高能放大319倍流量。

上面的数据和之前两次的的数据进行比较，Chargen DDoS攻击的危害并没有减小，反而有增大的趋势。

从图中可以看出仍然是韩国具有最多数量的可被利用进行DDos反射放大攻击的服务器，我国排在第二 。下面，对我国各省份的情况进行统计，如图所示：

Chargen协议19端口可利用服务器全国分布图

3.2.NTP

通过ZoomEye网络空间探测引擎获取到14万(147,526)台开启了UDP 123端口的服务器。利用这些数据进行放大倍率探测，实际上只有1千(1,723)台服务器开启了UDP 123端口，占总数的1.17%，放大倍数大于10的服务器只有4台，占有响应服务器总数的0.23%，具体数量见图3.2-1所示：

和上一次探测的结果相比，利用NTP进行反射DDoS攻击的隐患基本消除，不管是NTP服务器的总量还是可被利用服务器数量，都大幅度下降，尤其是本次探测中，只发现4台可被利用的NTP服务器，而且这4台皆位于日本。我国未被探测到可被利用的NTP服务器。

3.3.DNS

通过Zoomeye网络空间探测引擎获取到2千万(21,261,177)台UDP 53端口相关的服务器，对这些服务器进行放大倍率探测，实际上只有384万(3,847,687)台服务器开启了53端口，占了扫描总数的18.1%。在开启了53端口的服务器中，有3万(31,999)台服务器放大倍数在10倍以上，只占总数的0.83%，而放大倍数为1的服务器有277万(2,776,027)台，具体数据见图3.3-1：

和上一版的数据相比，互联网上DNS服务器的和可被利用的DNS服务器数量均处于下降状态。

下面，再来看看这3万台放大倍数大于10的服务器全球分布情况，如图所示，可以看到，和上一轮相比，数量排名没啥变化，仍然是美国排在第一位。我们又对可利用服务器在我国的分布情况进行了统计，如图3.3-3所示，和上一轮相比，湖北省的DNS服务器数量有了明显的提高。

3.3-2 DNS协议53端口可利用服务器全球分布图

DNS协议53端口可利用服务器全国分布图

3.4.SNMP

通过Zoomeye网络空间探测引擎获取到1千万(11,681,422)台UDP 161端口相关的服务器，对这些服务器进行放大倍率探测，实际上有167万(1,677,616)台服务器开启了161端口，占了扫描总数的14.36%。在开启了161端口的服务器中，有61万(617,980)台服务器放大倍数在10倍以上，占了总数的36.84%，具体数据见图3.4-1：

本次探测得到的数据和前一轮的数据相比较，探测到的SNMP服务器数增加，而可利用的服务器数却呈下降状态。

传送门——《DDoS反射放大攻击全球探测分析（中）》