1、 (2019 年 5 月)国家计算机网络应急技术处理协调中心 2019 年 6 月 CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)2/24 目 录 一、引言.3(一)攻击资源定义.3(二)本月重点关注情况.4 二、DDoS 攻击资源分析.5(一)控制端资源分析.5(二)肉鸡资源分析.8(三)反射攻击资源分析.10(四)发起伪造流量的路由器分析.20 1.跨域伪造流量来源路由器.20 2.本地伪造流量来源路由器.22 CNCERT CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)3/24 一、引言(一)攻击资源定义 本报告为 2019 年 5
2、 月份的 DDoS 攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于 CNCERT 监测的 DDoS 攻击事件数据进行抽样分析,重点对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。2、肉鸡资源,指被控制端利用,向攻击目标发起 DDoS攻击的僵尸主机节点。3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如 DNS 服务器,NTP 服务器等
3、),它们就可能成为被利用发起 DDoS 攻击的网络资源。4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动 DDoS 攻击的设备。5、本地伪造流量来源路由器,是指转发了大量伪造本区CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)4/24 域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。在本报告中,一次 DDoS 攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目
4、标的单个 DDoS 攻击,攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为 24 小时或更多,则该事件被认为是两次攻击。此外,DDoS 攻击资源及攻击目标地址均指其 IP 地址,它们的地理位置由它的 IP 地址定位得到。(二)本月重点关注情况 1、本月利用肉鸡发起 DDoS 攻击的控制端中,境外控制端最多位于美国;境内控制端最多位于江苏省,其次是浙江省、河南省和北京市,按归属运营商统计,电信占的比例最大。2、本月参与攻击较多的肉鸡地址主要位于广东省、江苏省、河南省和山东省,其中大量肉鸡地址归属于电信运营商。2019 年以来监测到的持续活跃的肉鸡资源中,位于江苏
5、省、福建省、浙江省和广东省占的比例最大。3、本月被利用发起 Memcached 反射攻击境内反射服务器数量按省份统计排名前三名的省份是河南省、广东省、四川省;数量最多的归属运营商是电信。被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是河北省、山东省和湖北省;数量最多的归属运营商是联通。被利用发起 SSDP 反射攻击的境内反射服务器数量按省份统计排名CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)5/24 前三名的省份是辽宁省、浙江省和吉林省;数量最多的归属运营商是联通。4、本月转发伪造跨域攻击流量的路由器中,归属于江苏省电信的路由器参与的攻
6、击事件数量最多,2019 年以来被持续利用的跨域伪造流量来源路由器中,归属于北京市、江苏省和辽宁省路由器数量最多。5、本月转发伪造本地攻击流量的路由器中,归属于湖南省联通的路由器参与的攻击事件数量最多,2019 年以来被持续利用的本地伪造流量来源路由器中,归属于江苏省、广东省北京市和浙江省路由器数量最多。二、DDoS 攻击资源分析(一)控制端资源分析 根据 CNCERT 抽样监测数据,2019 年 5 月,利用肉鸡发起DDoS 攻击的控制端有 257 个,其中,37 个控制端位于我国境内,220 个控制端位于境外。位于境外的控制端按国家或地区分布,美国占的比例最大,占 45.9%,其次是加拿大
7、和中国香港,如图 1 所示。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)6/24 图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布 TOP15 位于境内的控制端按省份统计,江苏省占的比例最大,各占 24.3%,其次是浙江省、河南省和北京市;按运营商统计,电信占的比例最大,占 62.2%,联通占 16.2%,移动占 5.4%,如图 2 所示。图 2 本月发起 DDoS 攻击的境内控制端数量按省份和运营商分布 本月发起攻击最多的境内控制端前二十名及归属如表 1所示,主要位于浙江省。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月
8、)7/24 表 1 本月发起攻击最多的境内控制端 TOP20 控制端地址控制端地址 归属省份归属省份 归属运营商或云服务商归属运营商或云服务商 115.X.X.186 浙江省 电信 222.X.X.231 江苏省 电信 115.X.X.236 浙江省 电信 222.X.X.41 江苏省 电信 42.X.X.96 河南省 联通 122.X.X.190 河南省 联通 114.X.X.236 北京市 电信 111.X.X.110 河南省 移动 139.X.X.127 上海市 阿里云 122.X.X.109 浙江省 电信 222.X.X.16 江苏省 电信 118.X.X.82 上海市 腾讯云 101
9、.X.X.202 北京市 电信 43.X.X.11 浙江省 待确认 117.X.X.165 北京市 联通 122.X.X.124 浙江省 电信 61.X.X.150 江苏省 电信 101.X.X.113 广东省 阿里云 123.X.X.43 河南省 电信 111.X.X.74 江西省 电信 2019 年至今监测到的控制端中,8.9%的控制端在本月仍处于活跃状态,共计 75 个,其中位于我国境内的控制端数量为 11 个,位于境外的控制端数量为 64 个。持续活跃的境内控制端及归属如表 2 所示。表 2 2019 年以来持续活跃发起 DDOS 攻击的境内控制端 控制端控制端地址地址 归属省份归属省
10、份 归属运营商归属运营商或云服务商或云服务商 42.X.X.96 河南省 联通 115.X.X.17 浙江省 电信 61.X.X.150 江苏省 电信 203.X.X.155 广东省 电信 115.X.X.236 浙江省 电信 101.X.X.113 广东省 阿里云 123.X.X.43 河南省 电信 182.X.X.227 上海市 腾讯云 115.X.X.186 浙江省 电信 CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)8/24 控制端控制端地址地址 归属省份归属省份 归属运营商归属运营商或云服务商或云服务商 139.X.X.127 上海市 阿里云 111.X.
11、X.74 江西省 电信(二)肉鸡资源分析 根据 CNCERT 抽样监测数据,2019 年 5 月,共有 686,081个肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。这些肉鸡资源按省份统计,广东省占的比例最大,为16.8%,其次是江苏省、河南省和山东省;按运营商统计,电信占的比例最大,为 56.9%,联通占 21.8%,移动占 20.4%,如图 3 所示。图 3 本月肉鸡地址数量按省份和运营商分布 本月参与攻击最多的肉鸡地址前二十名及归属如表 3 所示,位于宁夏回族自治区的地址最多。表 3 本月参与攻击最多的肉鸡地址 TOP20 肉鸡地址肉鸡地址 归属省份归属省份 归属运营
12、商归属运营商 14.X.X.116 广东省 电信 111.X.X.34 宁夏回族自治区 移动 CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)9/24 肉鸡地址肉鸡地址 归属省份归属省份 归属运营商归属运营商 42.X.X.251 湖南省 联通 124.X.X.238 河北省 电信 124.X.X.237 河北省 电信 124.X.X.236 河北省 电信 14.X.X.114 广东省 电信 219.X.X.70 内蒙古自治区 电信 124.X.X.239 河北省 电信 14.X.X.117 广东省 电信 111.X.X.2 宁夏回族自治区 移动 210.X.X.11
13、5 北京市 联通 210.X.X.50 北京市 联通 120.X.X.52 宁夏回族自治区 移动 120.X.X.226 宁夏回族自治区 移动 210.X.X.229 北京市 联通 218.X.X.121 江苏省 电信 120.X.X.131 宁夏回族自治区 移动 14.X.X.112 广东省 电信 14.X.X.118 广东省 电信 2019 年至今监测到的肉鸡资源中,共计 36,022 个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为 19,654个,位于境外的肉鸡数量为 16,368 个。2019 年 1 月至今被利用发起 DDoS 攻击最多的肉鸡 TOP20 及归属如表 4 所
14、示。表 4 2019 年以来被利用发起 DDoS 攻击数量排名 TOP20,且在本月持续活跃的肉鸡地址 肉鸡地址肉鸡地址 归属省份归属省份 归属运营商归属运营商 36.X.X.125 内蒙古自治区 电信 122.X.X.10 湖北省 联通 14.X.X.41 广东省 电信 112.X.X.170 广东省 联通 58.X.X.131 广东省 联通 218.X.X.249 广西壮族自治区 电信 120.X.X.50 广东省 联通 112.X.X.51 广东省 联通 14.X.X.241 广东省 电信 113.X.X.167 湖北省 联通 113.X.X.16 陕西省 电信 183.X.X.50 湖
15、北省 联通 119.X.X.89 广东省 电信 CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)10/24 肉鸡地址肉鸡地址 归属省份归属省份 归属运营商归属运营商 120.X.X.229 宁夏回族自治区 移动 118.X.X.139 吉林省 联通 122.X.X.110 吉林省 联通 117.X.X.17 江西省 电信 111.X.X.53 吉林省 移动 111.X.X.15 广西壮族自治区 移动 219.X.X.34 辽宁省 电信 2019 年至今持续活跃的境内肉鸡资源按省份统计,江苏省占的比例最大,占 23.1%,其次是福建省、浙江省和广东省;按运营商统计,电信
16、占的比例最大,占 57.5%,移动占 26.8%,联通占 11.8%,如图 4 所示。图 42019 年以来持续活跃的肉鸡数量按省份和运营商分布(三)反射攻击资源分析 根据 CNCERT 抽样监测数据,2019 年 5 月,利用反射服务器发起的三类重点反射攻击共涉及 1,814,386 台反射服务器,其中境内反射服务器 1,345,333 台,境外反射服务器 469,053台。反射攻击所利用 Memcached 反射服务器发起反射攻击的CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)11/24 反射服务器有 24,785 台,占比 1.4%,其中境内反射服务器22,3
17、34 台,境外反射服务器 2,451 台;利用 NTP 反射发起反射攻击的反射服务器有 547,332 台,占比 30.2%,其中境内反射服务器 317,048 台,境外反射服务器 230,284 台;利用 SSDP反射发起反射攻击的反射服务器有 1,242,269 台,占比 68.5%,其中境内反射服务器 1,005,951 台,境外反射服务器 236,318台。(1)Memcached 反射服务器资源 Memcached 反射攻击利用了在互联网上暴露的大批量Memcached 服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向 Memcached 服务器 IP 地址的默认端口1
18、1211 发送伪造受害者 IP 地址的特定指令 UDP 数据包,使Memcached 服务器向受害者 IP 地址返回比请求数据包大数倍的数据,从而进行反射攻击。根据CNCERT抽样监测数据,2019年5月,利用Memcached服务器实施反射攻击的事件共涉及境内22,334台反射服务器,境外 2,451 台反射服务器。本月境内反射服务器数量按省份统计,河南省占的比例最大,占 11.6%,其次是广东省、四川省和河北省;按归属运营商或云服务商统计,电信占的比例最大,占 79.4%,移动占比11.8%,联通占比 6.2%,阿里云占比 1.8%,如图 5 所示。CNCERT 我国 DDoS 攻击资源月
19、度分析报告(2019 年 5 月)12/24 图 5 本月境内 Memcached 反射服务器数量按省份、运营商或云服务商分布 本月境外反射服务器数量按国家或地区统计,美国占的比例最大,占 33.2%,其次是俄罗斯、中国香港和法国,如图 6所示。图 6 本月境外反射服务器数量按国家或地区分布 本月被利用发起 Memcached 反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表5所示,位于浙江省的地址最多。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)13/24 表 5 本月境内被利用发起 Memcached 反射攻击事件数量中排名 T
20、OP30 的反射服务器 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商或云服务商归属运营商或云服务商 121.X.X.205 广东省 电信 183.X.X.174 安徽省 电信 139.X.X.9 上海市 阿里云 61.X.X.232 四川省 电信 223.X.X.13 四川省 移动 122.X.X.39 浙江省 电信 121.X.X.82 浙江省 电信 211.X.X.250 湖北省 联通 182.X.X.230 云南省 电信 59.X.X.232 湖北省 电信 60.X.X.82 安徽省 电信 116.X.X.10 云南省 电信 112.X.X.44 云南省 电信 114.X.
21、X.200 广东省 电信 211.X.X.30 上海市 电信 139.X.X.137 上海市 阿里云 118.X.X.206 四川省 电信 120.X.X.251 浙江省 阿里云 139.X.X.143 上海市 阿里云 120.X.X.159 广东省 阿里云 112.X.X.223 浙江省 移动 122.X.X.34 浙江省 电信 121.X.X.40 浙江省 电信 223.X.X.24 浙江省 移动 122.X.X.7 上海市 待确认 121.X.X.148 浙江省 电信 222.X.X.246 湖南省 电信 60.X.X.224 甘肃省 电信 121.X.X.241 浙江省 电信 61.X
22、.X.107 甘肃省 电信 近两月被利用发起攻击的 Memcached 反射服务器中,共计2497 个在本月仍处于活跃状态。近两月被持续利用发起攻击的 Memcached 反射服务器按省份统计,江苏省占的比例最大,占 21.8%,其次是福建省、浙江省、广东省和上海市;按运营商或云服务统计,电信占的比例最大,占 56.1%,移动占 26.7%,CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)14/24 联通占 11.8%,阿里云占 2.3%,如图 7 所示。图 7 近两月被持续利用发起攻击的 Memcached 反射服务器数量按省份运营商或云服务商分布(2)NTP 反射
23、服务器资源 NTP 反射攻击利用了 NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP 服务器 IP 地址的默认端口 123 发送伪造受害者 IP 地址的Monlist 指令数据包,使 NTP 服务器向受害者 IP 地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。根据 CNCERT 抽样监测数据,2019 年 5 月,NTP 反射攻击事件共涉及我国境内 317,048 台反射服务器,境外 230,284 台反射服务器。本月被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计,河北省占的比例最大,占 35.6%,其次是山东省、CNCERT
24、我国 DDoS 攻击资源月度分析报告(2019 年 5 月)15/24 湖北省和河南省;按归属运营商统计,联通占的比例最大,占50.9%,移动占比 31.8%,电信占比 17.1%,如图 8 所示。图 8 本月被利用发起 NTP 反射攻击的境内反射服务器数量按省份和运营商分布 本月被利用发起 NTP 反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占 52.1%,其次是澳大利亚、巴西和美国,如图 9 所示。图 9 本月被利用发起 NTP 反射攻击的境外反射服务器数量按国家或地区分布 本月被利用发起 NTP 反射攻击的境内反射服务器按被利CNCERT 我国 DDoS 攻击资源月度
25、分析报告(2019 年 5 月)16/24 用发起攻击数量排名 TOP30 及归属如表 6 所示,位于安徽省的地址最多。表 6 本月境内被利用发起 NTP 反射攻击的反射服务器按涉事件数量 TOP30 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商归属运营商 111.X.X.2 湖南省 移动 120.X.X.125 安徽省 移动 112.X.X.80 安徽省 移动 111.X.X.8 湖南省 移动 111.X.X.6 湖南省 移动 111.X.X.7 湖南省 移动 111.X.X.4 湖南省 移动 111.X.X.5 湖南省 移动 111.X.X.3 湖南省 移动 111.X.X.
26、136 安徽省 移动 119.X.X.50 宁夏回族自治区 电信 183.X.X.11 山西省 移动 111.X.X.9 湖南省 移动 111.X.X.70 山西省 移动 183.X.X.29 山西省 移动 112.X.X.113 安徽省 移动 211.X.X.180 山西省 移动 111.X.X.99 安徽省 移动 211.X.X.78 山西省 移动 112.X.X.86 安徽省 移动 183.X.X.94 山西省 移动 223.X.X.173 山东省 移动 112.X.X.82 安徽省 移动 112.X.X.114 安徽省 移动 112.X.X.139 安徽省 移动 120.X.X.99
27、安徽省 移动 211.X.X.146 山西省 移动 120.X.X.230 安徽省 移动 120.X.X.44 安徽省 移动 120.X.X.115 安徽省 移动 近两月被持续利用发起攻击的 NTP 反射服务器中,共计190,472 个在本月仍处于活跃状态,其中 154,255 个位于境内,36,217 个位于境外。持续活跃的 NTP 反射服务器按省份统计,CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)17/24 山东省占的比例最大,占 25.9%,其次是河北省、河南省和湖北省;按运营商统计,移动占的比例最大,占 39.4%,联通占36.6%,电信占 22.9%,如
28、图 10 所示。图 10 近两月被持续利用发起攻击的 NTP 反射服务器数量按省份运营商分布(3)SSDP 反射服务器资源 SSDP 反射攻击利用了 SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向 SSDP 服务器 IP 地址的默认端口 1900 发送伪造受害者 IP 地址的查询请求,使 SSDP 服务器向受害者 IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。根据 CNCERT 抽样监测数据,2019 年 5 月,SSDP 反射攻击事件共涉及境内 1,005,951 台反射服务器,境外 236,318 台反射
29、服务器。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)18/24 本月被利用发起 SSDP 反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占 24.5%,其次是浙江省、吉林省和广东省;按归属运营商统计,联通占的比例最大,占61.4%,电信占比 37.2%,移动占比 1.2%,如图 11 所示。图 11 本月被利用发起 SSDP 反射攻击的境内反射服务器数量按省份和运营商分布 本月被利用发起 SSDP 反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占 23.9%,其次是美国、中国台湾和加拿大,如图 12 所示。图 12 本月被利用发起
30、 SSDP 反射攻击的境外反射服务器数量按国家或地区或地区分布 本月被利用发起 SSDP 反射攻击的境内反射服务器按被利CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)19/24 用发起攻击数量排名 TOP30 的反射服务器及归属如表 7 所示,位于江西省的地址最多。表 7 本月境内被利用发起 SSDP 反射攻击事件数量中排名 TOP30 的反射服务器 反射服务器地址反射服务器地址 归属省份归属省份 归属运营商归属运营商 61.X.X.126 宁夏回族自治区 电信 59.X.X.210 山西省 电信 59.X.X.26 山西省 电信 183.X.X.188 重庆市 电
31、信 222.X.X.69 重庆市 电信 222.X.X.66 重庆市 电信 59.X.X.22 山西省 电信 61.X.X.163 江西省 电信 222.X.X.146 吉林省 电信 182.X.X.186 江西省 电信 59.X.X.2 山西省 电信 183.X.X.236 重庆市 电信 220.X.X.215 云南省 电信 218.X.X.108 江西省 电信 114.X.X.10 江苏省 电信 59.X.X.39 辽宁省 电信 61.X.X.142 江西省 电信 59.X.X.222 辽宁省 电信 183.X.X.50 重庆市 电信 61.X.X.170 重庆市 电信 61.X.X.15
32、6 湖南省 电信 218.X.X.249 江西省 电信 182.X.X.11 四川省 电信 218.X.X.163 江西省 电信 182.X.X.219 江西省 电信 218.X.X.46 江西省 电信 218.X.X.133 江西省 电信 182.X.X.141 四川省 电信 60.X.X.206 云南省 电信 59.X.X.10 山西省 电信 近两月被持续利用发起攻击的 SSDP 反射服务器中,共计217,621 个在本月仍处于活跃状态,其中 104,252 位于境内,113,369 个位于境外。近两月持续活跃的参与大量攻击事件的CNCERT 我国 DDoS 攻击资源月度分析报告(2019
33、 年 5 月)20/24 SSDP 反射服务器按省份统计,辽宁省占的比例最大,占 26.3%,其次是吉林省、浙江省和广东省;按运营商统计,联通占的比例最大,占 60.9%,电信占 34.9%,移动占 3.7%,如图 13 所示。图 13 近两月被持续利用发起攻击的 SSDP 反射服务器数量按省份运营商分布(四)发起伪造流量的路由器分析 1.跨域伪造流量来源路由器 根据 CNCERT 抽样监测数据,2019 年 5 月,通过跨域伪造流量发起攻击的流量来源于 44 个路由器。根据参与攻击事件的数量统计,归属于江苏省电信的路由器(221.X.X.6、221.X.X.5)参与的攻击事件数量最多,其次是
34、归属于电信集团的路由器(202.X.X.222、202.X.X.223),如表 8 所示。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)21/24 表 8 本月参与攻击最多的跨域伪造流量来源路由器 TOP25 跨域伪造流量来源路由器跨域伪造流量来源路由器 归属省份归属省份 归属运营商归属运营商 221.X.X.6 江苏省 电信 221.X.X.5 江苏省 电信 202.X.X.222 集团 电信 202.X.X.223 集团 电信 220.X.X.253 北京市 电信 219.X.X.70 北京市 电信 202.X.X.180 辽宁省 待确认 202.X.X.52
35、辽宁省 待确认 202.X.X.17 集团 电信 202.X.X.16 集团 电信 221.X.X.2 天津市 电信 221.X.X.1 天津市 电信 202.X.X.204 重庆市 电信 218.X.X.6 北京市 电信 202.X.X.205 重庆市 电信 220.X.X.243 北京市 电信 202.X.X.193 集团 电信 202.X.X.192 集团 电信 202.X.X.118 天津市 待确认 202.X.X.116 天津市 待确认 202.X.X.136 浙江省 电信 211.X.X.44 辽宁省 移动 222.X.X.180 上海市 电信 220.X.X.253 河北省 联通
36、 202.X.X.137 浙江省 电信 跨域伪造流量涉及路由器按省份分布统计,北京市占的比例最大,占 22.7%,其次是江苏省和辽宁省;按路由器所属运营商统计,联通占的比例最大,占 31.8%,电信占比 29.5%,移动占比 4.5%,如图 14 所示。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)22/24 图 14 跨域伪造流量来源路由器数量按省份和运营商分布 2019 年以来被持续利用转发 DDoS 攻击的跨域伪造流量来源路由器中,监测发现有 40 个在本月仍活跃,存活率为19.0%。按省份分布统计,北京市占的比例最大,占 27.8%,其次是江苏省和辽宁省;按
37、路由器所属运营商统计,电信占的比例最大,占 30.0%,联通占比 27.5%,移动占比 5.0%,如图15 所示。图 15 2019 年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份和运营商分布 2.本地伪造流量来源路由器 根据 CNCERT 抽样监测数据,2019 年 5 月,通过本地伪造流量发起攻击的流量来源于 413 个路由器。根据参与攻击事件CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)23/24 的数量统计,归属于湖南省联通的路由器(110.X.X.1、110.X.X.6)参与的攻击事件数量最多,其次是归属于辽宁省电信的路由器(219.X.X.1
38、),如表 9 所示。表 9 本月参与攻击最多的本地伪造流量来源路由器 TOP25 本地伪造流量来源路由器本地伪造流量来源路由器 归属省份归属省份 归属运营商归属运营商 110.X.X.1 湖南省 联通 110.X.X.6 湖南省 联通 219.X.X.1 辽宁省 电信 202.X.X.21 上海市 电信 61.X.X.255 江苏省 电信 61.X.X.2 江苏省 电信 61.X.X.1 江苏省 电信 221.X.X.6 江苏省 电信 221.X.X.5 江苏省 电信 124.X.X.1 上海市 电信 222.X.X.128 江苏省 电信 202.X.X.52 辽宁省 待确认 61.X.X.2
39、54 江苏省 电信 61.X.X.252 江苏省 电信 222.X.X.127 江苏省 电信 61.X.X.70 江苏省 电信 61.X.X.71 江苏省 电信 222.X.X.180 上海市 电信 202.X.X.17 上海市 电信 124.X.X.201 上海市 电信 202.X.X.180 辽宁省 待确认 220.X.X.25 江西省 电信 202.X.X.193 江苏省 待确认 202.X.X.192 江苏省 待确认 202.X.X.17 上海市 待确认 本月本地伪造流量涉及路由器按省份分布,江苏省占的比例最大,占 18.9%,其次是北京市和广东省;按路由器所属运营商统计,电信占的比例
40、最大,占 40.1%,联通占比 27.6%,移动占比 21.4%,如图 16 所示。CNCERT 我国 DDoS 攻击资源月度分析报告(2019 年 5 月)24/24 图 16 本月本地伪造流量来源路由器数量按省份和运营商分布 2019 年以来被持续利用转发本地伪造流量 DDoS 攻击的路由器中,监测发现有 235 个在本月仍活跃,存活率为 52.9%。按省份统计,江苏省占的比例最大,占 16.6%,其次是广东省、北京市和浙江省;按路由器所属运营商统计,电信占的比例最大,占 47.3%,移动占比 24.1%,联通占比 16.3%,如图 17 所示。图 17 2019 年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布 扫码关注:金融干货精选获取更多干货资料