2019年12月|我国DDoS攻击资源月度分析报告
本月重点关注情况
1、本月利用肉鸡发起DDoS攻击的控制端中,境外控制端80.7%位于云平台中,按国家统计,最多位于美国;境内控制端66.7%位于云平台中,按省份统计,最多位于江苏省、北京市和山东省,按归属运营商统计,电信占的比例最大。
2、本月参与攻击较多的肉鸡地址主要位于浙江省、江苏省、广东省和山东省,其中大量肉鸡地址归属于电信。2019年以来监测到的持续活跃的肉鸡资源中,位于浙江省、江苏省、四川省和广东省占的比例最大。
3、本月被利用发起Memcached反射攻击的境内反射服务器64.5%位于云平台中,按省份统计排名前三名的省份是广东省、河南省和山东省;数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器按省份统计排名前三名的省份是河北省、山东省和河南省;数量最多的归属运营商是联通。被利用发起SSDP反射攻击的境内反射服务器按省份统计排名前三名的省份是辽宁省、浙江省和广东省;数量最多的归属运营商是联通。
4、本月转发伪造跨域攻击流量的路由器中,归属于北京市的路由器参与的攻击事件数量最多,2019年以来被持续利用的跨域伪造流量来源路由器中,归属于福建省、江苏省和安徽省路由器数量最多。
5、本月转发伪造本地攻击流量的路由器中,归属于浙江省电信的路由器参与的攻击事件数量最多,2019年以来被持续利用的本地伪造流量来源路由器中,归属于河北省、浙江省和四川省路由器数量最多。
攻击资源定义
本报告为2019年12月份的DDoS攻击资源月度分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的网络服务中,如果存在某些网络服务,不需要进行认证并且具有放大效果,又在互联网上大量部署(如DNS服务器,NTP服务器等),它们就可能成为被利用发起DDoS攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
DDoS攻击资源月度分析
1
控制端资源分析
根据CNCERT抽样监测数据,2019年12月,利用肉鸡发起DDoS攻击的控制端有358个,其中,15个控制端位于我国境内,343个控制端位于境外。
本月发起DDoS攻击的境外控制端80.7%位于云平台中,境内控制端66.7%位于云平台,如图1所示。
图1 本月发起DDoS攻击的境外和境内控制端云平台占比
本月位于境外的控制端按国家或地区分布,美国占的比例最大,占47.5%,其次是德国和荷兰,如图2所示。
图2 本月发起DDoS攻击的境外控制端数量按国家或地区分布
本月位于境内的控制端按省份统计,江苏省、北京市和山东省占的比例最大,各占20.0%,其次是四川省;按运营商统计,电信占的比例最大,占60.0%,移动占26.7%,联通占6.7%,如图3所示。
图3 本月发起DDoS攻击的境内控制端数量按省份和运营商分布
本月发起攻击最多的境内控制端前十五名及归属如表1所示,位于江苏省、北京市和山东省的地址最多。
| 控制端地址 | 归属省份 | 归属运营商或云服务商 |
| 182.XX.XX.39 | 四川省 | 电信 |
| 125.XX.XX.46 | 四川省 | 电信 |
| 211.XX.XX.140 | 安徽省 | 移动 |
| 180.XX.XX.50 | 江苏省 | 电信 |
| 150.XX.XX.60 | 山东省 | 电信 |
| 222.XX.XX.61 | 江苏省 | 电信 |
| 36.XX.XX.10 | 浙江省 | 电信 |
| 150.XX.XX.16 | 山东省 | 电信 |
| 112.XX.XX.184 | 山东省 | 联通 |
| 120.XX.XX.1 | 广东省 | 阿里云 |
| 39.XX.XX.238 | 北京市 | 阿里云 |
| 60.XX.XX.30 | 安徽省 | 电信 |
| 61.XX.XX.133 | 江苏省 | 电信 |
| 47.XX.XX.77 | 北京市 | 阿里云 |
| 139.XX.XX.168 | 北京市 | BGP多线 |
2019年至今监测到的控制端中,2.2%的控制端在本月仍处于活跃状态,共计74个,其中位于我国境内的控制端数量为5个,位于境外的控制端数量为69个。持续活跃的境内控制端及归属如表2所示。
表2 2019年以来持续活跃发起DDOS攻击的境内控制端
| 控制端地址 | 归属省份 | 归属运营商或云服务商 |
| 125.XX.XX.46 | 四川省 | 电信 |
| 182.XX.XX.39 | 四川省 | 电信 |
| 150.XX.XX.60 | 山东省 | 电信 |
| 222.XX.XX.61 | 江苏省 | 电信 |
| 36.XX.XX.10 | 浙江省 | 电信 |
2
肉鸡资源分析
根据CNCERT抽样监测数据,2019年12月,共有290,745个境内肉鸡地址参与真实地址攻击(包含真实地址攻击与其它攻击的混合攻击)。
本月参与攻击的境内肉鸡仅3.8%位于云平台中,如图4所示。
图4 本月境内肉鸡云平台占比
本月境内肉鸡资源按省份统计,浙江省占的比例最大,为13.2%,其次是江苏省、广东省和山东省;按运营商统计,电信占的比例最大,为58.7%,联通占24.9%,移动占14.4%,如图5所示。
图5 本月境内肉鸡地址数量按省份和运营商分布
本月参与攻击最多的境内肉鸡地址前二十名及归属如表3所示,位于上海市的地址最多。
表3 本月参与攻击最多的境内肉鸡地址TOP20
| 肉鸡地址 | 归属省份 | 归属运营商 |
| 175.XX.XX.124 | 湖南省 | 电信 |
| 115.XX.XX.133 | 浙江省 | 电信 |
| 106.XX.XX.131 | 上海市 | BGP多线 |
| 111.XX.XX.129 | 上海市 | BGP多线 |
| 115.XX.XX.27 | 上海市 | BGP多线 |
| 123.XX.XX.130 | 北京市 | 联通 |
| 183.XX.XX.99 | 浙江省 | 电信 |
| 118.XX.XX.131 | 上海市 | BGP多线 |
| 42.XX.XX.106 | 黑龙江省 | 电信 |
| 122.XX.XX.87 | 北京市 | 电信 |
| 122.XX.XX.56 | 北京市 | 电信 |
| 222.XX.XX.114 | 黑龙江省 | 电信 |
| 59.XX.XX.123 | 江西省 | 电信 |
| 27.XX.XX.10 | 河北省 | 电信 |
| 183.XX.XX.27 | 浙江省 | 电信 |
| 59.XX.XX.117 | 江西省 | 电信 |
| 59.XX.XX.116 | 江西省 | 电信 |
| 221.XX.XX.190 | 海南省 | 移动 |
| 123.XX.XX.36 | 河北省 | 电信 |
| 124.XX.XX.106 | 河北省 | 电信 |
2019年至今监测到的肉鸡资源中,共计32,227个肉鸡在本月仍处于活跃状态,其中位于我国境内的肉鸡数量为17,861个,位于境外的肉鸡数量为14,366个。2019年至今持续活跃的境内肉鸡资源按省份统计,浙江省占的比例最大,占20.8%,其次是江苏省、四川省和广东省;按运营商统计,电信占的比例最大,占54.3%,移动占27.5%,联通占13.8%,如图6所示。
图6 2019年以来持续活跃的境内肉鸡数量按省份和运营商分布
3
反射攻击资源分析
根据CNCERT抽样监测数据,2019年12月,利用反射服务器发起的三类重点反射攻击共涉及2,238,785台反射服务器,其中境内反射服务器1,606,272台,境外反射服务器632,513台。反射攻击所利用Memcached反射服务器发起反射攻击的反射服务器有31,866台,占比1.4%,其中境内反射服务器30,227台,境外反射服务器1,639台;利用NTP反射发起反射攻击的反射服务器有986,821台,占比44.1%,其中境内反射服务器566,035台,境外反射服务器420,786台;利用SSDP反射发起反射攻击的反射服务器有1,220,098台,占比54.5%,其中境内反射服务器1,010,010台,境外反射服务器210,088台。
(1)Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2019年12月,Memcached反射攻击事件共涉及境内30,227台反射服务器,境外1,639台反射服务器。
本月被利用发起Memcached反射攻击的境内反射服务器64.5%位于云平台中,境外反射服务器控制端56.7%位于云平台,如图7所示。
图7 本月境内和境外Memcached反射服务器云平台占比
本月被利用发起Memcached反射攻击的境内反射服务器数量按省份统计,广东省占的比例最大,占16.0%,其次是河南省、山东省和四川省;按归属运营商统计,电信占的比例最大,占60.1%,移动占比30.2%,联通占比9.4%,如图8所示。
图8 本月境内Memcached反射服务器数量按省份、运营商分布
本月境外被利用发起Memcached反射攻击的反射服务器数量按国家或地区统计,美国占的比例最大,占14.6%,其次是法国、德国和中国香港,如图9所示。
图9 本月境外Memcached反射服务器数量按国家或地区分布
本月被利用发起Memcached反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表4所示,位于北京市、广东省和上海市的地址最多。
| 反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
| 222.XX.XX.157 | 湖南省 | 电信 |
| 42.XX.XX.182 | 上海市 | BGP多线 |
| 144.XX.XX.146 | 山东省 | 电信 |
| 106.XX.XX.142 | 北京市 | 电信 |
| 219.XX.XX.69 | 北京市 | 电信 |
| 182.XX.XX.188 | 云南省 | 电信 |
| 106.XX.XX.110 | 未知 | BGP多线 |
| 49.XX.XX.178 | 上海市 | BGP多线 |
| 120.XX.XX.148 | 广东省 | 阿里云 |
| 120.XX.XX.166 | 上海市 | 移动 |
| 180.XX.XX.40 | 上海市 | 电信 |
| 113.XX.XX.112 | 广东省 | 电信 |
| 106.XX.XX.69 | 北京市 | 电信 |
| 52.XX.XX.17 | 上海市 | 电信 |
| 117.XX.XX.56 | 甘肃省 | 移动 |
| 106.XX.XX.113 | 未知 | BGP多线 |
| 112.XX.XX.194 | 广东省 | 阿里云 |
| 58.XX.XX.30 | 广东省 | 联通 |
| 123.XX.XX.119 | 北京市 | 阿里云 |
| 120.XX.XX.112 | 广东省 | 阿里云 |
| 47.XX.XX.95 | 上海市 | 阿里云 |
| 180.XX.XX.253 | 北京市 | 电信 |
| 139.XX.XX.47 | 上海市 | 阿里云 |
| 123.XX.XX.175 | 北京市 | 阿里云 |
| 180.XX.XX.192 | 北京市 | 电信 |
| 112.XX.XX.84 | 广东省 | 阿里云 |
| 112.XX.XX.96 | 北京市 | 阿里云 |
| 120.XX.XX.56 | 广东省 | 阿里云 |
| 120.XX.XX.216 | 广东省 | 阿里云 |
| 49.XX.XX.51 | 上海市 | BGP多线 |
近两月被利用发起攻击的Memcached反射服务器中,共计2,985个在本月仍处于活跃状态。近两月被持续利用发起攻击的Memcached反射服务器按省份统计,浙江省占的比例最大,占19.5%,其次是广东省、江苏省和四川省;按运营商统计,电信占的比例最大,占50.7%,移动占29.4%,联通占13.7%,如图10所示。
图10 近两月被持续利用发起攻击的Memcached反射服务器数量按省份运营商分布
(2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
根据CNCERT抽样监测数据,2019年12月,NTP反射攻击事件共涉及我国境内566,035台反射服务器,境外420,786台反射服务器。
本月被利用发起NTP反射攻击的境内反射服务器3.0%位于云平台中,境外反射服务器控制端1.3%位于云平台,如图11所示。
图11 本月境内和境外NTP反射服务器云平台占比
本月被利用发起NTP反射攻击的境内反射服务器数量按省份统计,河北省占的比例最大,占13.7%,其次是山东省、河南省和辽宁省;按归属运营商统计,联通占的比例最大,占63.7%,电信占比30.0%,移动占比5.4%,如图12所示。
图12 本月被利用发起NTP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区统计,越南占的比例最大,占42.9%,其次是巴西、巴基斯坦和美国,如图13所示。
图13 本月被利用发起NTP反射攻击的境外反射服务器数量按国家或地区分布
本月被利用发起NTP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30及归属如表5所示,位于安徽省的地址最多。
表5 本月境内被利用发起NTP反射攻击的反射服务器按涉事件数量TOP30
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 220.XX.XX.229 | 云南省 | 电信 |
| 112.XX.XX.86 | 安徽省 | 移动 |
| 112.XX.XX.197 | 安徽省 | 移动 |
| 111.XX.XX.7 | 湖南省 | 移动 |
| 112.XX.XX.209 | 安徽省 | 移动 |
| 112.XX.XX.86 | 安徽省 | 移动 |
| 111.XX.XX.9 | 湖南省 | 移动 |
| 183.XX.XX.98 | 湖南省 | 移动 |
| 112.XX.XX.76 | 安徽省 | 移动 |
| 112.XX.XX.114 | 安徽省 | 移动 |
| 111.XX.XX.2 | 湖南省 | 移动 |
| 111.XX.XX.206 | 山西省 | 移动 |
| 112.XX.XX.61 | 安徽省 | 移动 |
| 120.XX.XX.230 | 安徽省 | 移动 |
| 111.XX.XX.5 | 湖南省 | 移动 |
| 111.XX.XX.6 | 湖南省 | 移动 |
| 112.XX.XX.2 | 安徽省 | 移动 |
| 183.XX.XX.70 | 山西省 | 移动 |
| 111.XX.XX.30 | 山西省 | 移动 |
| 120.XX.XX.31 | 安徽省 | 移动 |
| 120.XX.XX.93 | 安徽省 | 移动 |
| 111.XX.XX.8 | 湖南省 | 移动 |
| 111.XX.XX.4 | 湖南省 | 移动 |
| 119.XX.XX.50 | 宁夏回族自治区 | 电信 |
| 120.XX.XX.115 | 安徽省 | 移动 |
| 222.XX.XX.19 | 宁夏回族自治区 | 电信 |
| 111.XX.XX.3 | 湖南省 | 移动 |
| 202.XX.XX.52 | 海南省 | 电信 |
| 211.XX.XX.138 | 山西省 | 移动 |
| 211.XX.XX.164 | 山西省 | 移动 |
近两月被持续利用发起攻击的NTP反射服务器中,共计222,272个在本月仍处于活跃状态,其中108,423个位于境内,113,849个位于境外。持续活跃的NTP反射服务器按省份统计,浙江省占的比例最大,占19.5%,其次是广东省、江苏省和四川省;按运营商统计,电信占的比例最大,占50.6%,移动占29.4%,联通占13.7%,如图14所示。
图14 近两月被持续利用发起攻击的NTP反射服务器数量按省份和运营商分布
(3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
根据CNCERT抽样监测数据,2019年12月,SSDP反射攻击事件共涉及境内1,010,010台反射服务器,境外210,088台反射服务器。
本月被利用发起SSDP反射攻击的境内反射服务器0.31%位于云平台中,境外反射服务器控制端0.43%位于云平台,如图15所示。
图15 本月境内和境外SSDP反射服务器云平台占比
本月被利用发起SSDP反射攻击的境内反射服务器数量按省份统计,辽宁省占的比例最大,占20.6%,其次是浙江省、广东省和吉林省;按归属运营商统计,联通占的比例最大,占58.2%,电信占比39.7%,移动占比1.1%,如图16所示。
图16 本月被利用发起SSDP反射攻击的境内反射服务器数量按省份和运营商分布
本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区统计,俄罗斯占的比例最大,占15.7%,其次是中国台湾、加拿大和韩国,如图17所示。
图17 本月被利用发起SSDP反射攻击的境外反射服务器数量按国家或地区分布
本月被利用发起SSDP反射攻击的境内反射服务器按被利用发起攻击数量排名TOP30的反射服务器及归属如表6所示,位于上海市的地址最多。
表6 本月境内被利用发起SSDP反射攻击事件数量中排名TOP30的反射服务器
| 反射服务器地址 | 归属省份 | 归属运营商 |
| 58.XX.XX.226 | 上海市 | 联通 |
| 218.XX.XX.213 | 黑龙江省 | 联通 |
| 112.XX.XX.236 | 安徽省 | 移动 |
| 222.XX.XX.118 | 湖南省 | 电信 |
| 116.XX.XX.140 | 上海市 | 电信 |
| 111.XX.XX.30 | 吉林省 | 移动 |
| 220.XX.XX.45 | 湖南省 | 电信 |
| 125.XX.XX.83 | 甘肃省 | 电信 |
| 112.XX.XX.249 | 安徽省 | 移动 |
| 124.XX.XX.82 | 北京市 | 联通 |
| 121.XX.XX.224 | 广东省 | 电信 |
| 113.XX.XX.162 | 广东省 | 电信 |
| 220.XX.XX.10 | 湖南省 | 电信 |
| 119.XX.XX.26 | 广东省 | 电信 |
| 119.XX.XX.138 | 广东省 | 电信 |
| 202.XX.XX.34 | 广东省 | 电信 |
| 111.XX.XX.242 | 吉林省 | 移动 |
| 59.XX.XX.69 | 湖南省 | 电信 |
| 220.XX.XX.20 | 湖南省 | 电信 |
| 220.XX.XX.15 | 湖南省 | 电信 |
| 220.XX.XX.40 | 湖南省 | 电信 |
| 180.XX.XX.5 | 上海市 | 电信 |
| 211.XX.XX.78 | 广东省 | 联通 |
| 125.XX.XX.73 | 上海市 | BGP多线 |
| 218.XX.XX.242 | 广东省 | 电信 |
| 119.XX.XX.226 | 广东省 | 电信 |
| 112.XX.XX.118 | 上海市 | 联通 |
| 220.XX.XX.4 | 湖南省 | 电信 |
| 61.XX.XX.175 | 陕西省 | 电信 |
| 111.XX.XX.92 | 吉林省 | 移动 |
近两月被持续利用发起攻击的SSDP反射服务器中,共计156,724个在本月仍处于活跃状态,其中122,313位于境内,34,411个位于境外。近两月持续活跃的参与大量攻击事件的SSDP反射服务器按省份统计,浙江省占的比例最大,占19.5%,其次是广东省、江苏省和四川省;按运营商统计,电信占的比例最大,占50.6%,移动占29.3%,联通占13.7%,如图18所示。
图18 近两月被持续利用发起攻击的SSDP反射服务器数量按省份运营商分布
(4)发起伪造流量的路由器分析
1. 跨域伪造流量来源路由器
根据CNCERT抽样监测数据,2019年12月,通过跨域伪造流量发起攻击的流量来源于34个路由器。根据参与攻击事件的数量统计,归属于北京市的路由器(202.XX.XX.60)参与的攻击事件数量最多,其次是归属于北京市的路由器(202.XX.XX.61),如表7所示。
表7 本月参与攻击最多的跨域伪造流量来源路由器TOP25
| 跨域伪造流量来源路由器 | 归属省份 | 归属运营商 |
| 202.XX.XX.60 | 北京市 | 待确认 |
| 202.XX.XX.61 | 北京市 | 待确认 |
| 202.XX.XX.223 | 四川省 | 待确认 |
| 202.XX.XX.222 | 四川省 | 待确认 |
| 61.XX.XX.2 | 江苏省 | 电信 |
| 218.XX.XX.220 | 福建省 | 移动 |
| 218.XX.XX.221 | 福建省 | 移动 |
| 211.XX.XX.8 | 浙江省 | 移动 |
| 221.XX.XX.216 | 黑龙江省 | 联通 |
| 61.XX.XX.1 | 江苏省 | 电信 |
| 219.XX.XX.70 | 北京市 | 电信 |
| 202.XX.XX.195 | 江苏省 | 待确认 |
| 218.XX.XX.5 | 贵州省 | 移动 |
| 218.XX.XX.242 | 黑龙江省 | 联通 |
| 221.XX.XX.253 | 安徽省 | 移动 |
| 221.XX.XX.20 | 江苏省 | 移动 |
| 202.XX.XX.191 | 江苏省 | 待确认 |
| 202.XX.XX.193 | 江苏省 | 待确认 |
| 202.XX.XX.192 | 江苏省 | 待确认 |
| 218.XX.XX.213 | 福建省 | 移动 |
| 218.XX.XX.212 | 福建省 | 移动 |
| 218.XX.XX.215 | 福建省 | 移动 |
| 218.XX.XX.214 | 福建省 | 移动 |
| 221.XX.XX.253 | 河北省 | 联通 |
| 221.XX.XX.254 | 河北省 | 联通 |
跨域伪造流量涉及路由器按省份分布统计,江苏省占的比例最大,各占23.1%,其次是福建省、安徽省和北京市;按路由器所属运营商统计,移动占的比例最大,占35.3%,联通占比17.7%,电信占比11.8%,如图19所示。
图19 跨域伪造流量来源路由器数量按省份和运营商分布
2019年以来被持续利用转发DDoS攻击的跨域伪造流量来源路由器中,监测发现有31个在本月仍活跃,存活率为11.7%。按省份分布统计,福建省和江苏省占的比例最大,各占23.1%,其次是安徽省;按路由器所属运营商统计,移动占的比例最大,占32.3%,联通占比16.1%,电信占比12.9%,如图20所示。
图20 2019年被持续利用转发跨域伪造攻击流量本月仍活跃路由器数量按省份和运营商分布
2. 本地伪造流量来源路由器
根据CNCERT抽样监测数据,2019年12月,通过本地伪造流量发起攻击的流量来源于218个路由器。根据参与攻击事件的数量统计,归属于浙江省电信的路由器(220.XX.XX.126)参与的攻击事件数量最多,其次是归属于浙江省电信的路由器(220.XX.XX.127),如表8所示。
表8 本月参与攻击最多的本地伪造流量来源路由器TOP25
| 本地伪造流量来源路由器 | 归属省份 | 归属运营商 |
| 220.XX.XX.126 | 浙江省 | 电信 |
| 220.XX.XX.127 | 浙江省 | 电信 |
| 202.XX.XX.136 | 浙江省 | 电信 |
| 202.XX.XX.137 | 浙江省 | 电信 |
| 218.XX.XX.130 | 四川省 | 电信 |
| 218.XX.XX.129 | 四川省 | 电信 |
| 202.XX.XX.2 | 四川省 | 电信 |
| 61.XX.XX.1 | 四川省 | 电信 |
| 202.XX.XX.65 | 四川省 | 电信 |
| 202.XX.XX.65 | 四川省 | 电信 |
| 202.XX.XX.66 | 四川省 | 电信 |
| 202.XX.XX.64 | 四川省 | 电信 |
| 202.XX.XX.67 | 四川省 | 电信 |
| 61.XX.XX.220 | 浙江省 | 电信 |
| 218.XX.XX.212 | 重庆市 | 待确认 |
| 218.XX.XX.213 | 重庆市 | 待确认 |
| 218.XX.XX.7 | 重庆市 | 移动 |
| 211.XX.XX.8 | 浙江省 | 移动 |
| 211.XX.XX.3 | 浙江省 | 移动 |
| 121.XX.XX.253 | 广西壮族自治区 | 联通 |
| 218.XX.XX.102 | 河北省 | 移动 |
| 218.XX.XX.101 | 河北省 | 移动 |
| 221.XX.XX.189 | 广东省 | 移动 |
| 211.XX.XX.43 | 云南省 | 移动 |
| 221.XX.XX.229 | 广东省 | 移动 |
本月本地伪造流量涉及路由器按省份分布,河北省占的比例最大,占11.0%,其次是浙江省、四川省和湖南省;按路由器所属运营商统计,电信占的比例最大,占37.2%,移动占比29.4%,联通占比25.7%,如图21所示。
图21 本月本地伪造流量来源路由器数量按省份和运营商分布
2019年以来被持续利用转发本地伪造流量DDoS攻击的路由器中,监测发现有176个在本月仍活跃,存活率为26.2%。按省份统计,河北省占的比例最大,占11.1%,其次是浙江省、四川省和江苏省;按路由器所属运营商统计,电信占的比例最大,占37.3%,移动占比30.4%,联通占比21.1如图22所示。
图22 2019年被持续利用且本月仍活跃的本地伪造流量来源路由器数量按省份运营商分布
往期回顾
点击下方“阅读原文”进入官网下载完整报告