本月重點關注情況

1、本月利用肉雞發(fā)起 DDoS 攻擊的控制端中，境外控制端超過一半位于美國；境內控制端最多位于浙江省，其次是江蘇省、北京市和上海市，按歸屬運營商統(tǒng)計，電信占的比例最大。
2、本月參與攻擊較多的肉雞地址主要位于浙江省、江蘇省、山東省和河南省，其中大量肉雞地址歸屬于電信運營商。2018 年以來監(jiān)測到的持續(xù)活躍的肉雞資源中，位于山東省、上海市、廣東省占的比例最大。
3、本月被利用發(fā)起 memcached 反射攻擊境內反射服務器數(shù)量按省份統(tǒng)計排名前三名的省份是廣東省、浙江省和江蘇省；數(shù)量最多的歸屬運營商是電信。被利用發(fā)起 NTP 反射攻擊的境內反射服務器數(shù)量按省份統(tǒng)計排名前三名的省份是湖北省、寧夏回族自治區(qū)和河南省；數(shù)量最多的歸屬運營商是電信。被利用發(fā)起 SSDP 反射攻擊的境內反射服務器數(shù)量按省份統(tǒng)計排名前三名的省份是遼寧省、山東省和河南省；數(shù)量最多的歸屬運營商是聯(lián)通。
4、轉發(fā)偽造跨域攻擊流量的路由器中，歸屬于新疆維吾爾自治區(qū)移動的路由器參與的攻擊事件數(shù)量最多，2018 年以來被持續(xù)利用的跨域偽造流量來源路由器中，歸屬于江蘇省、廣東省和貴州省路由器數(shù)量最多。
5、轉發(fā)偽造本地攻擊流量的路由器中，歸屬于新疆維吾爾自治區(qū)電信的路由器參與的攻擊事件數(shù)量最多，2018 年以來被持續(xù)利用的跨域偽造流量來源路由器中，歸屬于江蘇省、江西省、貴州省和浙江省路由器數(shù)量最多。 
攻擊資源定義
本報告為 2018 年 5 月份的 DDoS 攻擊資源月度分析報告。圍繞互聯(lián)網(wǎng)環(huán)境威脅治理問題，基于 CNCERT 監(jiān)測的 DDoS攻擊事件數(shù)據(jù)進行抽樣分析，重點對“DDoS 攻擊是從哪些網(wǎng)絡資源上發(fā)起的”這個問題進行分析。主要分析的攻擊資源包括：
1、 控制端資源，指用來控制大量的僵尸主機節(jié)點向攻擊目標發(fā)起 DDoS 攻擊的木馬或僵尸網(wǎng)絡控制端。
2、 肉雞資源，指被控制端利用，向攻擊目標發(fā)起 DDoS攻擊的僵尸主機節(jié)點。
3、 反射服務器資源，指能夠被黑客利用發(fā)起反射攻擊的服務器、主機等設施，它們提供的網(wǎng)絡服務中，如果存在某些網(wǎng)絡服務，不需要進行認證并且具有放大效果，又在互聯(lián)網(wǎng)上大量部署（如 DNS 服務器，NTP 服務器等），它們就可能成為被利用發(fā)起 DDoS 攻擊的網(wǎng)絡資源。
4、 跨域偽造流量來源路由器，是指轉發(fā)了大量任意偽造IP 攻擊流量的路由器。由于我國要求運營商在接入網(wǎng)上進行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷，且該路由器下的網(wǎng)絡中存在發(fā)動 DDoS 攻擊的設備。
5、 本地偽造流量來源路由器，是指轉發(fā)了大量偽造本區(qū)域 IP 攻擊流量的路由器。說明該路由器下的網(wǎng)絡中存在發(fā)動DDoS 攻擊的設備。
在本報告中，一次 DDoS 攻擊事件是指在經(jīng)驗攻擊周期內，不同的攻擊資源針對固定目標的單個 DDoS 攻擊，攻擊周期時長不超過 24 小時。如果相同的攻擊目標被相同的攻擊資源所攻擊，但間隔為 24 小時或更多，則該事件被認為是兩次攻擊。此外，DDoS 攻擊資源及攻擊目標地址均指其 IP 地址，它們的地理位置由它的 IP 地址定位得到。 
DDoS 攻擊資源分析
（一）控制端資源分析
根據(jù) CNCERT 抽樣監(jiān)測數(shù)據(jù)，2018 年 5 月，利用肉雞發(fā)起 DDoS 攻擊的控制端有 259 個，其中，43 個控制端位于我國境內，216 個控制端位于境外。位于境外的控制端按國家或地區(qū)分布，美國占的比例最大，占 50.5%，其次是中國香港和法國，如圖 1 所示。

圖 1 本月發(fā)起 DDoS 攻擊的境外控制端數(shù)量按國家或地區(qū)分布
位于境內的控制端按省份統(tǒng)計，浙江省占的比例最大，占34.9%，其次是江蘇省、北京市和上海市；按運營商統(tǒng)計，電信占的比例最大，占 76.7%，聯(lián)通占 7.0%，移動占 2.3%，如圖 2 所示。