内容简介:1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于江苏省,其次是贵州省、广东省和浙江省,按归属运营商统计,电信占的比例最大。2、本月参与攻击较多的肉鸡地址主要位于江苏省、广东省、山东省和福建省,其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中,位于山东省、福建省、江苏省占的比例最大。3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是河南省、山东省和广东省;数量最多的归属运营商是电信。被利用发起NTP反射
本月重点关注情况
1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于江苏省,其次是贵州省、广东省和浙江省,按归属运营商统计,电信占的比例最大。
2、本月参与攻击较多的肉鸡地址主要位于江苏省、广东省、山东省和福建省,其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中,位于山东省、福建省、江苏省占的比例最大。
3、本月被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的省份是河南省、山东省和广东省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河南省、河北省和山东省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、浙江省和吉林省;数量最多的归属运营商是联通。
4、本月转发伪造跨域攻击流量的路由器中,归属于北京市的路由器参与的攻击事件数量最多,2018年以来被持续利用的跨域伪造流量来源路由器中,归属于北京市、江苏省和上海市路由器数量最多。
5、本月转发伪造本地攻击流量的路由器中,归属于吉林省联通的路由器参与的攻击事件数量最多,2018年以来被持续利用的本地伪造流量来源路由器中,归属于河南省、北京市、广东省和山东省路由器数量最多。
攻击资源定义
本报告为2018年11月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
DDoS攻击资源月度分析
1 控制端资源分析
根据CNCERT抽样监测数据,2018年11月,利用肉鸡发起DDoS攻击的控制端有239个,其中,37个控制端位于我国境内,202个控制端位于境外。
位于境外的控制端按国家或地区分布,美国占的比例最大,占42.6%,其次是法国和中国香港,如图1所示。
图1 本月发起DDoS攻击的境外控制端数量按国家或地区分布
位于境内的控制端按省份统计,江苏省占的比例最大,占35.1%,其次是贵州省、广东省和浙江省;按运营商统计,电信占的比例最大,占67.6%,联通占13.5%,移动占2.7%,如图2所示。
图2 本月发起DDoS攻击的境内控制端数量按省份和运营商分布
本月发起攻击最多的境内控制端前二十名及归属如表1所示,位于贵州省的数量最多。
表1 本月发起攻击最多的境内控制端TOP20
控制端地址 | 归属省份 | 归属运营商或云服务商 |
27.X.X.234 | 福建省 | 电信 |
119.X.X.162 | 广东省 | 电信 |
222.X.X.16 | 江苏省 | 电信 |
43.X.X.43 | 天津市 | 联通 |
222.X.X.7 | 江苏省 | 电信 |
119.X.X.225 | 福建省 | 电信 |
123.X.X.162 | 贵州省 | 电信 |
183.X.X.57 | 广东省 | 电信 |
123.X.X.146 | 贵州省 | 电信 |
115.X.X.165 | 浙江省 | 电信 |
123.X.X.57 | 山东省 | 联通 |
123.X.X.164 | 贵州省 | 电信 |
120.X.X.114 | 浙江省 | 阿里云 |
123.X.X.147 | 贵州省 | 电信 |
183.X.X.229 | 浙江省 | 电信 |
123.X.X.194 | 山东省 | 联通 |
222.X.X.11 | 江苏省 | 电信 |
120.X.X.156 | 浙江省 | 阿里云 |
218.X.X.118 | 辽宁省 | 联通 |
118.X.X.188 | 广东省 | 电信 |
2018年1月至今监测到的控制端中,4.3%的控制端在本月仍处于活跃状态,共计76个,其中位于我国境内的控制端数量为10个,位于贵州省的数量最多;位于境外的控制端数量为56个。持续活跃的境内控制端及归属如表2所示。
表2 2018年以来持续活跃发起DDOS攻击的境内控制端
控制端地址 | 归属省份 | 归属运营商或云服务商 |
123.X.X.146 | 贵州省 | 电信 |
182.X.X.227 | 上海市 | 腾讯云 |
123.X.X.147 | 贵州省 | 电信 |
120.X.X.114 | 浙江省 | 阿里云 |
27.X.X.234 | 福建省 | 电信 |
123.X.X.211 | 贵州省 | 电信 |
123.X.X.169 | 贵州省 | 电信 |
123.X.X.164 | 贵州省 | 电信 |
123.X.X.162 | 贵州省 | 电信 |
183.X.X.229 | 浙江省 | 电信 |
2 肉鸡资源分析
根据CNCERT抽样监测数据,2018年11月,共有317,219个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。
这些肉鸡资源按省份统计,江苏省占的比例最大,为17.0%,其次是广东省、山东省和福建省;按运营商统计,电信占的比例最大,为77.2%,联通占19.6%,移动占2.0%,如图3所示。
图3 本月肉鸡地址数量按省份和运营商分布
本月参与攻击最多的肉鸡地址前二十名及归属如表3所示,位于山东省的地址最多。
表3 本月参与攻击最多的肉鸡地址TOP20
肉鸡地址 | 归属省份 | 归属运营商 |
124.X.X.62 | 海南省 | 电信 |
123.X.X.39 | 山东省 | 电信 |
182.X.X.119 | 山东省 | 电信 |
112.X.X.91 | 黑龙江省 | 电信 |
27.X.X.85 | 山东省 | 联通 |
222.X.X.203 | 河南省 | 电信 |
58.X.X.3 | 内蒙古自治区 | 联通 |
27.X.X.192 | 山东省 | 联通 |
60.X.X.156 | 天津市 | 联通 |
182.X.X.77 | 山东省 | 电信 |
42.X.X.105 | 黑龙江省 | 电信 |
60.X.X.204 | 天津市 | 联通 |
61.X.X.3 | 河南省 | 联通 |
180.X.X.184 | 天津市 | 电信 |
123.X.X.241 | 山东省 | 联通 |
182.X.X.178 | 山东省 | 电信 |
60.X.X.101 | 天津市 | 联通 |
112.X.X.104 | 山东省 | 联通 |
175.X.X.182 | 吉林省 | 电信 |
218.X.X.205 | 山东省 | 联通 |
2018年1月至今监测到的肉鸡资源中,共计58,847个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为54,715个,位于境外的肉鸡数量为4,132个。2018年1月至今被利用发起DDoS攻击最多的肉鸡TOP20及归属如表4所示。
表4 2018年以来被利用发起DDoS攻击数量排名TOP20,且在本月持续活跃的肉鸡地址
肉鸡地址 | 归属省份 | 归属运营商 |
60.X.X.174 | 新疆维吾尔自治区 | 联通 |
61.X.X.28 | 甘肃省 | 电信 |
61.X.X.66 | 青海省 | 电信 |
61.X.X.243 | 内蒙古自治区 | 联通 |
221.X.X.129 | 内蒙古自治区 | 联通 |
222.X.X.242 | 贵州省 | 电信 |
222.X.X.186 | 广西壮族自治区 | 电信 |
220.X.X.58 | 广西壮族自治区 | 电信 |
42.X.X.155 | 上海市 | 电信 |
112.X.X.234 | 江苏省 | 联通 |
218.X.X.182 | 河南省 | 联通 |
183.X.X.79 | 浙江省 | 电信 |
221.X.X.144 | 贵州省 | 联通 |
211.X.X.78 | 上海市 | 联通 |
27.X.X.250 | 上海市 | 联通 |
61.X.X.9 | 河南省 | 联通 |
60.X.X.30 | 安徽省 | 电信 |
122.X.X.13 | 河南省 | 联通 |
61.X.X.20 | 山东省 | 联通 |
139.X.X.210 | 上海市 | 电信 |
2018年1月至今持续活跃的境内肉鸡资源按省份统计,山东省占的比例最大,占20.6%,其次是福建省、江苏省和广东省;按运营商统计,电信占的比例最大,占79.6%,联通占13.4%,移动占2.8%,如图4所示。
图4 2018年以来持续活跃的肉鸡数量按省份和运营商分布
3 反射攻击资源分析
根据CNCERT抽样监测数据,2018年11月,利用反射服务器发起的三类重点反射攻击共涉及3,016,768台反射服务器,其中境内反射服务器1,843,949台,境外反射服务器1,172,819台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有11,912台,占比0.4%,其中境内反射服务器8,354台,境外反射服务器3,558台;利用NTP反射发起反射攻击的反射服务器有1,032,106台,占比34.2%,其中境内反射服务器554,981台,境外反射服务器477,125台;利用SSDP反射发起反射攻击的反射服务器有1,972,750台,占比65.4%,其中境内反射服务器1,280,614台,境外反射服务器692,136台。
(1)Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年11月,利用Memcached服务器实施反射攻击的事件共涉及境内8,354台反射服务器,境外3,558台反射服务器,数量较上月有所下降。
本月境内反射服务器数量按省份统计,河南省占的比例最大,占27.9%,其次是山东省、广东省和浙江省;按归属运营商或云服务商统计,电信占的比例最大,占45.7%,联通占比18.6%,移动占比18.0%,阿里云占比9.1%,如图5所示。
图5 本月境内Memcached反射服务器数量按省份、运营商或云服务商分布
本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占24.6%,其次是俄罗斯、法国和中国香港,如图6所示。
图6 本月境外反射服务器数量按国家或地区分布
本月被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,位于北京市的地址最多。
表5 本月境内被利用发起Memcached反射攻击事件数量中排名TOP30的反射服务器
反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
202.X.X.66 | 广东省 | 联通 |
106.X.X.51 | 北京市 | 电信 |
60.X.X.216 | 内蒙古自治区 | 联通 |
222.X.X.227 | 黑龙江省 | 电信 |
222.X.X.125 | 北京市 | 联通 |
183.X.X.101 | 广东省 | 移动 |
220.X.X.240 | 浙江省 | 电信 |
117.X.X.38 | 河南省 | 移动 |
121.X.X.199 | 河北省 | 联通 |
211.X.X.112 | 湖南省 | 移动 |
61.X.X.238 | 浙江省 | 电信 |
58.X.X.13 | 湖北省 | 联通 |
121.X.X.59 | 山东省 | 电信 |
116.X.X.127 | 北京市 | 待确认 |
116.X.X.140 | 北京市 | 待确认 |
121.X.X.2 | 河北省 | 联通 |
119.X.X.93 | 北京市 | 电信 |
118.X.X.28 | 四川省 | 电信 |
117.X.X.90 | 四川省 | 移动 |
115.X.X.100 | 山东省 | 阿里云 |
123.X.X.195 | 北京市 | 阿里云 |
101.X.X.226 | 北京市 | 阿里云 |
123.X.X.87 | 北京市 | 阿里云 |
14.X.X.43 | 广东省 | 电信 |
115.X.X.210 | 山东省 | 阿里云 |
202.X.X.100 | 山西省 | 联通 |
101.X.X.113 | 北京市 | 阿里云 |
115.X.X.89 | 山东省 | 阿里云 |
116.X.X.206 | 北京市 | 待确认 |
42.X.X.71 | 河南省 | 联通 |
近两月被利用发起攻击的Memcached反射服务器中,共计3,847个在本月仍处于活跃状态。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,广东省占的比例最大,占16.8%,其次是浙江省、北京市、山东省和河南省;按运营商或云服务统计,电信占的比例最大,占25.9%,阿里云占22.7%,移动占20.3%,联通占18.1%,如图7所示。
图7 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商或云服务商分布
(2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年11月,NTP反射攻击事件共涉及我国境内554,981台反射服务器,境外477,125台反射服务器。
本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,河南省占的比例最大,占18.2%,其次是河北省、山东省和湖北省;按归属运营商统计,联通占的比例最大,占41.0%,移动占比34.8%,电信占比23.8%,如图8所示。
图8 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占61.8%,其次是澳大利亚、巴西和美国,如图9所示。
图9 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布
本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表6所示,位于山西省的地址最多。
表6 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30
反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
211.X.X.150 | 山西省 | 移动 |
211.X.X.54 | 山西省 | 移动 |
111.X.X.70 | 山西省 | 移动 |
111.X.X.9 | 山西省 | 移动 |
111.X.X.144 | 山西省 | 移动 |
183.X.X.11 | 山西省 | 移动 |
111.X.X.113 | 山西省 | 移动 |
183.X.X.174 | 山西省 | 移动 |
211.X.X.78 | 山西省 | 移动 |
111.X.X.206 | 山西省 | 移动 |
211.X.X.234 | 山西省 | 移动 |
183.X.X.216 | 山西省 | 移动 |
218.X.X.242 | 贵州省 | 移动 |
111.X.X.242 | 山西省 | 移动 |
183.X.X.12 | 山西省 | 移动 |
183.X.X.80 | 山西省 | 移动 |
211.X.X.188 | 山西省 | 移动 |
183.X.X.29 | 山西省 | 移动 |
211.X.X.172 | 山西省 | 移动 |
183.X.X.94 | 山西省 | 移动 |
183.X.X.196 | 山西省 | 移动 |
183.X.X.70 | 山西省 | 移动 |
111.X.X.21 | 山西省 | 移动 |
111.X.X.30 | 山西省 | 移动 |
111.X.X.14 | 山西省 | 移动 |
183.X.X.214 | 山西省 | 移动 |
183.X.X.162 | 山西省 | 移动 |
211.X.X.146 | 山西省 | 移动 |
211.X.X.154 | 山西省 | 移动 |
183.X.X.126 | 山西省 | 移动 |
近两月被持续利用发起攻击的NTP反射服务器中,共计271,947个在本月仍处于活跃状态,其中175,108个位于境内,96,839个位于境外。持续活跃的NTP反射服务器按省份统计,河北省占的比例最大,占24.6%,其次是湖北省、山东省和河南省;按运营商统计,联通占的比例最大,占44.1%,移动占34.5%,电信占20.9%,如图10所示。
图10 近两月被持续利用发起攻击的NTP反射服务器数量按省份运营商分布
(3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
根据CNCERT抽样监测数据,2018年11月,SSDP反射攻击事件共涉及境内1,280,614台反射服务器,境外692,136台反射服务器。
本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占21.8%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占61.7%,电信占比36.5%,移动占比1.5%,如图11所示。
图11 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占22.4%,其次是中国台湾、意大利和美国,如图12所示。
图12 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区或地区分布
本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表7所示,位于上海市的地址最多。
表7 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器
反射服务器地址 | 归属省份 | 归属运营商 |
120.X.X.138 | 新疆维吾尔自治区 | 电信 |
120.X.X.234 | 新疆维吾尔自治区 | 电信 |
118.X.X.131 | 湖南省 | 电信 |
101.X.X.206 | 上海市 | 电信 |
112.X.X.3 | 云南省 | 电信 |
116.X.X.15 | 云南省 | 电信 |
180.X.X.52 | 上海市 | 电信 |
116.X.X.98 | 上海市 | 电信 |
117.X.X.46 | 上海市 | 联通 |
120.X.X.102 | 新疆维吾尔自治区 | 电信 |
1.X.X.246 | 内蒙古自治区 | 电信 |
119.X.X.178 | 宁夏回族自治区 | 电信 |
122.X.X.198 | 山东省 | 电信 |
123.X.X.118 | 内蒙古自治区 | 电信 |
120.X.X.150 | 新疆维吾尔自治区 | 移动 |
125.X.X.248 | 甘肃省 | 电信 |
124.X.X.54 | 上海市 | 电信 |
111.X.X.151 | 江西省 | 电信 |
111.X.X.143 | 湖南省 | 移动 |
180.X.X.254 | 上海市 | 电信 |
116.X.X.163 | 广西壮族自治区 | 电信 |
125.X.X.175 | 广西壮族自治区 | 电信 |
144.X.X.18 | 山东省 | 电信 |
122.X.X.249 | 山东省 | 电信 |
180.X.X.158 | 广西壮族自治区 | 电信 |
122.X.X.50 | 山东省 | 电信 |
180.X.X.107 | 广西壮族自治区 | 电信 |
118.X.X.86 | 甘肃省 | 电信 |
116.X.X.65 | 云南省 | 电信 |
180.X.X.51 | 上海市 | 电信 |
近两月被持续利用发起攻击的SSDP反射服务器中,共计350,918个在本月仍处于活跃状态,其中343,363个位于境内,7,555个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,河北省占的比例最大,占16.2%,其次是辽宁省、山东省和湖北省;按运营商统计,联通占的比例最大,占52.1%,电信占27.8%,移动占19.5%,如图13所示。
图13 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布
(4)发起伪造流量的路由器分析
1. 跨域伪造流量来源路由器
根据CNCERT抽样监测数据,2018年11月,通过跨域伪造流量发起攻击的流量来源于113个路由器。根据参与攻击事件的数量统计,归属于北京市的路由器(222.X.X.201、222.X.X.200、150.X.X.1、150.X.X.2、222.X.X.200)参与的攻击事件数量最多,其次是归属于内蒙古自治区联通(110.X.X.2)的路由器,如表8所示。
表8 本月参与攻击最多的跨域伪造流量来源路由器TOP25
跨域伪造流量来源路由器 | 归属省份 | 归属运营商 |
222.X.X.201 | 北京市 | 待确认 |
222.X.X.200 | 北京市 | 待确认 |
150.X.X.1 | 北京市 | 待确认 |
150.X.X.2 | 北京市 | 待确认 |
222.X.X.200 | 北京市 | 待确认 |
110.X.X.2 | 内蒙古自治区 | 联通 |
222.X.X.201 | 北京市 | 待确认 |
110.X.X.1 | 内蒙古自治区 | 联通 |
222.X.X.201 | 北京市 | 待确认 |
222.X.X.200 | 北京市 | 待确认 |
61.X.X.14 | 北京市 | 联通 |
61.X.X.12 | 北京市 | 联通 |
61.X.X.4 | 北京市 | 联通 |
61.X.X.1 | 北京市 | 联通 |
202.X.X.116 | 天津市 | 待确认 |
202.X.X.118 | 天津市 | 待确认 |
220.X.X.253 | 北京市 | 电信 |
220.X.X.243 | 北京市 | 电信 |
150.X.X.2 | 北京市 | 待确认 |
150.X.X.1 | 北京市 | 待确认 |
202.X.X.223 | 四川省 | 待确认 |
219.X.X.70 | 北京市 | 电信 |
202.X.X.222 | 四川省 | 待确认 |
118.X.X.168 | 四川省 | 待确认 |
118.X.X.169 | 四川省 | 待确认 |
跨域伪造流量涉及路由器按省份分布统计,北京市占的比例最大,占33.6%,其次是江苏省和上海市;按路由器所属运营商统计,电信占的比例最大,占27.5%,联通占比18.3%,移动占比16.7%,如图14所示。
图14 跨域伪造流量来源路由器数量按省份和运营商分布
2018年度被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有91个在本月仍活跃,存活率为18.8%。按省份分布统计,北京市占的比例最大,占38.5%,其次是江苏省和上海市;按路由器所属运营商统计,电信占的比例最大,占24.7%,移动占比17.5%,联通占比15.5%,如图15所示。
图15 2018年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份和运营商分布
2. 本地伪造流量来源路由器
根据CNCERT抽样监测数据,2018年11月,通过本地伪造流量发起攻击的流量来源于206个路由器。根据参与攻击事件的数量统计,归属于吉林省联通的路由器(222.X.X.3、222.X.X.2、222.X.X.4、222.X.X.1)参与的攻击事件数量最多,其次是归属于北京市电信的路由器(220.X.X.243),如表9所示。
表9 本月参与攻击最多的本地伪造流量来源路由器TOP25
本地伪造流量来源路由器 | 归属省份 | 归属运营商 |
222.X.X.3 | 吉林省 | 联通 |
222.X.X.2 | 吉林省 | 联通 |
222.X.X.4 | 吉林省 | 联通 |
222.X.X.1 | 吉林省 | 联通 |
220.X.X.243 | 北京市 | 电信 |
60.X.X.1 | 山东省 | 待确认 |
60.X.X.2 | 山东省 | 待确认 |
218.X.X.6 | 北京市 | 电信 |
218.X.X.24 | 北京市 | 电信 |
220.X.X.26 | 江西省 | 电信 |
220.X.X.25 | 江西省 | 电信 |
180.X.X.2 | 北京市 | 电信 |
221.X.X.253 | 安徽省 | 移动 |
202.X.X.223 | 河北省 | 联通 |
202.X.X.224 | 河北省 | 联通 |
180.X.X.1 | 北京市 | 电信 |
222.X.X.15 | 新疆维吾尔自治区 | 电信 |
220.X.X.253 | 北京市 | 电信 |
222.X.X.16 | 新疆维吾尔自治区 | 电信 |
220.X.X.61 | 北京市 | 电信 |
220.X.X.63 | 北京市 | 电信 |
203.X.X.34 | 黑龙江省 | 联通 |
203.X.X.33 | 黑龙江省 | 联通 |
221.X.X.229 | 广东省 | 移动 |
221.X.X.237 | 广东省 | 移动 |
本月本地伪造流量涉及路由器按省份分布,河南省占的比例最大,占11.7%,其次是北京市、广东省和山东省;按路由器所属运营商统计,电信占的比例最大,占51.9%,联通占比22.0%,移动占比14.5%,如图16所示。
图16 本地伪造流量来源路由器数量按省份和运营商分布
2018年被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有186个在本月仍活跃,存活率为20.9%。按省份统计,河南省占的比例最大,占10.8%,其次是北京市、广东省和浙江省;按路由器所属运营商统计,电信占的比例最大,占52.6%,联通占比19.1%,移动占比16.0%,如图17所示。
图17 2018年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布
下载完整报告:http://www.cert.org.cn/publish/main/upload/File/201811DDoS.pdf
声明:本文来自国家互联网应急中心CNCERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。
以上所述就是小编给大家介绍的《CNCERT:2018年11月我国DDoS攻击资源月度分析报告》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- CNCERT:2018年10月我国DDoS攻击资源月度分析报告
- CNCERT:2019年3月我国DDoS攻击资源月度分析报告
- CNCERT:2019年2月我国DDoS攻击资源月度分析报告
- CNCERT:2019年4月我国DDoS攻击资源月度分析报告
- CNCERT:2019年5月我国DDoS攻击资源月度分析报告
- 2017年3月份月度小结
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。