信息來(lái)源：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心

       4月10日，CNCERT監(jiān)測(cè)發(fā)現(xiàn)我國(guó)互聯(lián)網(wǎng)1900端口多次出現(xiàn)大規(guī)模流量持續(xù)流出的情況。經(jīng)深入分析，確定這是一起境外方向?yàn)E用我國(guó)境內(nèi)網(wǎng)絡(luò)資源對(duì)某國(guó)兩個(gè)IP發(fā)起大規(guī)模DDoS反射攻擊的事件，峰值流量超過800Gbps。這一事件表明，我國(guó)境內(nèi)服務(wù)器的安全防護(hù)亟待加強(qiáng)，以避免被用于惡性攻擊事件。

        1. DDoS反射攻擊事件發(fā)現(xiàn)       

        近日，CNCERT監(jiān)測(cè)發(fā)現(xiàn)1900端口在4月10日出現(xiàn)多次流出方向流量暴增的情況，峰值流量超過800Gbps。從流量圖（圖1）中可以看到，在4月10日11:30-16:00和20:10-23:59兩個(gè)時(shí)段內(nèi)均存在持續(xù)的1900端口流出流量異常情況，疑似出現(xiàn)大規(guī)模DDoS攻擊事件。

圖1 4月10日1900端口流出流量情況

           根據(jù)監(jiān)測(cè)數(shù)據(jù)，發(fā)現(xiàn)兩個(gè)境外IP地址受到了來(lái)自境內(nèi)大量服務(wù)器1900端口的UDP反射攻擊。 

表1 大規(guī)模異常流量情況

被攻擊ip	歸屬地	被攻擊端口
X.X.144.201	境外	80
X.X.145.201	境外	80

        從攻擊流量的時(shí)序來(lái)看，兩個(gè)被攻擊IP的流量圖中攻擊流量的形態(tài)極為相似。由此可見，可能為同一組織對(duì)兩個(gè)IP發(fā)起的攻擊，攻擊峰值流量均超過800Gbps。

        2. 反射服務(wù)器反射攻擊資源分析       

        根據(jù)CNCERT抽樣監(jiān)測(cè)數(shù)據(jù)，上述兩例利用1900端口發(fā)起的DDoS反射攻擊事件中，針對(duì)X.X.144.201的攻擊共涉及境內(nèi)436,124個(gè)反射服務(wù)器，按省份統(tǒng)計(jì)，山東省占比最大，為29.0%，其次為遼寧省、浙江省和河北??；按歸屬運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占比為59.1%，電信占比為33.9%，移動(dòng)占比為1.7%。針對(duì)X.X.145.201的攻擊共涉及境內(nèi)433,138個(gè)反射服務(wù)器。按省份統(tǒng)計(jì)山東省為29.0%，其次為遼寧省、浙江省和河北?。话礆w屬運(yùn)營(yíng)商統(tǒng)計(jì)，聯(lián)通占比為59.3%，電信占比為33.7%，移動(dòng)占比為1.7%。經(jīng)分析發(fā)現(xiàn)，兩個(gè)IP的攻擊事件中共有365,587個(gè)反射服務(wù)器IP重合。

圖2 攻擊X.X.144.201的反射服務(wù)器按省份、運(yùn)營(yíng)商分布

圖3 攻擊X.X.145.201的反射服務(wù)器按省份、運(yùn)營(yíng)商分布

        3. 真實(shí)攻擊來(lái)源       

        本次DDoS反射攻擊偽造被攻擊IP地址向反射服務(wù)器的1900端口發(fā)起UDP請(qǐng)求，通過反射服務(wù)器向被攻擊IP返回放大的流量來(lái)對(duì)被攻擊IP實(shí)施攻擊。因此，以被攻擊IP為源地址的流量來(lái)源能反映其真實(shí)的攻擊來(lái)源。根據(jù)CNCERT分析，本次通過偽造被攻擊IP地址的發(fā)起流量來(lái)源基本都位于境外，占全部偽造被攻擊IP地址發(fā)起流量的95%以上。由此可見，該大規(guī)模流量攻擊事件系境外方向?yàn)E用我國(guó)境內(nèi)網(wǎng)絡(luò)資源發(fā)起的網(wǎng)絡(luò)攻擊。

        這一事件也表明，我國(guó)應(yīng)加強(qiáng)境內(nèi)服務(wù)器的安全防護(hù)工作，關(guān)閉不必要的服務(wù)端口，加強(qiáng)對(duì)客戶流量的審計(jì)，避免被攻擊者濫用于惡性網(wǎng)絡(luò)攻擊。