mongo按季度统计_2020年第一季度|我国DDoS攻击资源季度分析报告
本季度重点关注情况
1、本季度利用肉鸡发起攻击的活跃控制端中,境外控制端按国家和地区统计,最多位于美国、荷兰和德国;境内控制端按省份统计,最多位于江苏省、上海市和北京市,按归属运营商统计,电信占比最大。
2、本季度参与攻击的活跃境内肉鸡中,按省份统计最多位于江苏省、广东省和浙江省;按归属运营商统计,电信占比最大。
3、本季度被利用参与Memcached反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是广东省、湖南省、和广西省;数量最多的归属运营商是电信。被利用参与NTP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是河北省、湖北省和河南省;数量最多的归属运营商是联通。被利用参与SSDP反射攻击的活跃境内反射服务器中,按省份统计排名前三名的省份是辽宁省、浙江省和广东省;数量最多的归属运营商是联通。
4、本季度转发伪造跨域攻击流量的路由器中,位于浙江省、上海市和北京市的路由器数量最多。本季度转发伪造本地攻击流量的路由器中,位于浙江省、四川省和江苏省的路由器数量最多。
攻击资源定义
本报告为2020年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题,基于CNCERT监测的DDoS攻击事件数据进行抽样分析,重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括:
1、控制端资源,指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。
2、肉鸡资源,指被控制端利用,向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源,指能够被黑客利用发起反射攻击的服务器、主机等设施,它们提供的某些网络服务(如DNS服务器,NTP服务器等),不需要进行认证并且具有放大效果,又在互联网上大量部署,从而成为被利用发起DDoS反射攻击的网络资源。
4、跨域伪造流量来源路由器,是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证,因此跨域伪造流量的存在,说明该路由器或其下路由器的源地址验证配置可能存在缺陷,且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器,是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中,一次DDoS攻击事件是指在经验攻击周期内,不同的攻击资源针对固定目标的单个DDoS攻击,攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击,但间隔为24小时或更多,则该事件被认为是两次攻击。此外,DDoS攻击资源及攻击目标地址均指其IP地址,它们的地理位置由它的IP地址定位得到。
DDoS攻击资源分析
1
控制端资源分析
2020年第1季度CNCERT/CC监测发现,利用肉鸡发起DDoS攻击的活跃控制端有1294个,其中境外控制端占比94.4%、云平台控制端占比83.9%,如图1所示,与2019年相比境外控制端占比进一步提高。
图1 2020年第1季度发起DDoS攻击的控制端数量境内外分布和云平台占比
位于境外的控制端按国家或地区统计,排名前三位的分别为美国(35.4%)、荷兰(13.8%)和德国(13.3%),其中如图2所示。
图2 2020年第1季度发起DDoS攻击的境外控制端数量按国家或地区分布
位于境内的控制端按省份统计,排名前三位的分别为江苏省(23.6%)、上海市(20.8%)和北京市(15.3%);按运营商统计,电信占38.8%,联通占32.1%,移动占21.6%,如图3所示。
图3 2020年第1季度发起DDoS攻击的境内控制端数量按省份和运营商分布
发起攻击最多的境内控制端地址前二十名及归属如表1所示,位于江苏省和上海市的地址最多。
表1 2020年第1季度发起攻击的境内控制端TOP20
控制端地址 | 归属省份 | 归属运营商或云服务商 |
180.X.X.237 | 江苏 | 电信 |
122.X.X.163 | 河南 | BGP多线 |
61.X.X.106 | 江苏 | 电信 |
183.X.X.217 | 广东 | 电信 |
61.X.X.121 | 江苏 | 电信 |
111.X.X.179 | 安徽 | 移动 |
193.X.X.99 | 广东 | 腾讯云 |
180.X.X.50 | 江苏 | 电信 |
218.X.X.64 | 江苏 | 电信 |
125.X.X.39 | 广东 | 电信 |
122.X.X.232 | 上海 | 华为云 |
119.X.X.92 | 上海 | 华为云 |
119.X.X.154 | 上海 | 华为云 |
122.X.X.98 | 上海 | 华为云 |
122.X.X.62 | 上海 | 华为云 |
121.X.X.197 | 浙江 | 阿里云 |
222.X.X.162 | 江苏 | 电信 |
111.X.X.16 | 江苏 | BGP多线 |
122.X.X.228 | 上海 | 腾讯云 |
49.X.X.111 | 上海 | 腾讯云 |
2
肉鸡资源分析
2020年第1季度CNCERT/CC监测发现,参与真实地址攻击(包含真实地址攻击与反射攻击等其他攻击的混合攻击)的肉鸡810081个,其中境内肉鸡占比91.5%、云平台肉鸡占比2.8%,如图4所示。
图4 2020年第1季度参与DDoS攻击的肉鸡数量境内外分布和云平台占比
位于境外的肉鸡按国家或地区统计,排名前三位的分别为美国(19.9%)、越南(7.6%)和巴西(6.2%),其中如图5所示。
图5 2020年第1季度参与DDoS攻击的境外肉鸡数量按国家或地区分布
位于境内的肉鸡按省份统计,排名前三位的分别为江苏省(12.6%)、广东省(10.5%)和浙江省(9.1%);按运营商统计,电信占54.8%,联通占25.9%,移动占9.7%,如图6所示。
图6 2020年第1季度参与DDoS攻击的境内肉鸡数量按省份和运营商分布
参与攻击最多的境内肉鸡地址前二十名及归属如表2所示,位于北京市的地址最多。
表2 2020年第1季度参与攻击最多的境内肉鸡地址TOP20
肉鸡地址 | 归属省份 | 归属运营商 |
111.X.X.145 | 北京 | 联通 |
39.X.X.75 | 广东 | 阿里云 |
101.X.X.51 | 上海 | 360云 |
39.X.X.100 | 北京 | 阿里云 |
124.X.X.117 | 北京 | BGP多线 |
111.X.X.131 | 北京 | 联通 |
111.X.X.139 | 北京 | 联通 |
111.X.X.124 | 北京 | 联通 |
111.X.X.93 | 北京 | 联通 |
123.X.X.121 | 北京 | BGP多线 |
111.X.X.233 | 北京 | 联通 |
111.X.X.201 | 北京 | 联通 |
36.X.X.5 | 北京 | 电信 |
111.X.X.227 | 北京 | 联通 |
154.X.X.237 | 北京 | 腾讯云 |
111.X.X.195 | 北京 | 联通 |
122.X.X.52 | 上海 | 腾讯云 |
118.X.X.241 | 重庆 | 腾讯云 |
94.X.X.120 | 重庆 | 腾讯云 |
122.X.X.218 | 上海 | 腾讯云 |
3
反射攻击资源分析
2020年第1季度CNCERT/CC监测发现,参与反射攻击的三类重点反射服务器5379142台,其中境内反射服务器占比64.7%,Memcached反射服务器占比3.0%,NTP反射服务器占比41.0%,SSDP反射服务器占比56.0%。
(1)Memcached反射服务器资源
Memcached反射攻击利用了在互联网上暴露的大批量Memcached服务器(一种分布式缓存系统)存在的认证和设计缺陷,攻击者通过向Memcached服务器IP地址的默认端口11211发送伪造受害者IP地址的特定指令UDP数据包,使Memcached服务器向受害者IP地址返回比请求数据包大数倍的数据,从而进行反射攻击。
2020年第1季度CNCERT/CC监测发现,参与反射攻击的Memcached反射服务器158855个,其中境内反射服务器占比97.6%、云平台反射服务器占比2.2%,如图7所示。
图7 2020年第1季度Memcached反射服务器数量境内外分布和云平台占比
位于境外的反射服务器按国家或地区统计,排名前三位的分别为美国(22.7%)、中国香港(7.1%)和法国(6.9%),其中如图8所示。
图8 2020年第1季度境外Memcached反射服务器数量按国家或地区分布
位于境内的反射服务器按省份统计,排名前三位的分别为广东省(14.7%)、湖南省(7.7%)和广西省(6.9%);按运营商统计,电信占76.7%,联通占14.4%,移动占8.4%,如图9所示。
图9 2020年第1季度境内Memcached反射服务器数量按省份和运营商分布
被利用参与Memcached反射攻击最多的境内反射服务器地址前二十名及归属如表3所示,位于上海市和北京市的地址最多。
表3 2020年第1季度被利用参与Memcached反射攻击最多的反射服务器地址Top20
反射服务器地址 | 归属省份 | 归属运营商或云服务商 |
58.X.X.30 | 广东 | 联通 |
210.X.X.98 | 北京 | 联通 |
120.X.X.166 | 上海 | 移动 |
120.X.X.253 | 上海 | 金山云 |
113.X.X.112 | 广东 | 电信 |
120.X.X.112 | 上海 | 移动 |
119.X.X.93 | 北京 | BGP多线 |
121.X.X.221 | 广东 | BGP多线 |
60.X.X.82 | 安徽 | 电信 |
117.X.X.51 | 甘肃 | 移动 |
106.X.X.69 | 北京 | 百度云 |
114.X.X.60 | 上海 | 京东云 |
139.X.X.209 | 上海 | 阿里云 |
221.X.X.43 | 黑龙江 | 联通 |
120.X.X.175 | 上海 | 金山云 |
123.X.X.192 | 北京 | 联通 |
122.X.X.68 | 浙江 | 电信 |
202.X.X.85 | 北京 | 联通 |
61.X.X.141 | 北京 | 联通 |
27.X.X.166 | 上海 | 联通 |
(2)NTP反射服务器资源
NTP反射攻击利用了NTP(一种通过互联网服务于计算机时钟同步的协议)服务器存在的协议脆弱性,攻击者通过向NTP服务器IP地址的默认端口123发送伪造受害者IP地址的Monlist指令数据包,使NTP服务器向受害者IP地址反射返回比原始数据包大数倍的数据,从而进行反射攻击。
2020年第1季度CNCERT/CC监测发现,参与反射攻击的NTP反射服务器2207483个,其中境内反射服务器占比36.4%、云平台反射服务器占比1.7%,如图10所示,与2019年相比境外反射服务器占比大幅度提高。
图10 2020年第1季度NTP反射服务器数量境内外分布和云平台占比
位于境外的反射服务器按国家或地区统计,排名前三位的分别为越南(59.5%)、巴西(11.8%)和巴基斯坦(5.2%),其中如图11所示。
图11 2020年第1季度境外NTP反射服务器数量按国家或地区分布
位于境内的反射服务器按省份统计,排名前三位的分别为河北省(20.3%)、湖北省(18.3%)和河南省(10.5%);按运营商统计,联通占51.3%,电信占41.5%,移动占7.0%,如图12所示。
图12 2020年第1季度境内NTP反射服务器数量按省份和运营商分布
被利用参与NTP反射攻击最多的境内反射服务器地址前二十名及归属如表4所示,位于安徽省的地址最多。
表4 2020年第1季度被利用参与NTP反射攻击最多的反射服务器地址Top20
反射服务器地址 | 归属省份 | 归属运营商 |
112.X.X.102 | 安徽 | 移动 |
202.X.X.52 | 海南 | 电信 |
122.X.X.5 | 吉林 | 联通 |
122.X.X.20 | 吉林 | 联通 |
111.X.X.217 | 山西 | 移动 |
222.X.X.3 | 贵州 | 电信 |
222.X.X.150 | 湖南 | 电信 |
111.X.X.7 | 湖南 | 移动 |
211.X.X.138 | 山西 | 移动 |
220.X.X.154 | 海南 | 电信 |
203.X.X.44 | 辽宁 | 电信 |
120.X.X.206 | 安徽 | 移动 |
111.X.X.71 | 安徽 | 移动 |
111.X.X.99 | 安徽 | 移动 |
112.X.X.80 | 安徽 | 移动 |
111.X.X.62 | 宁夏 | 电信 |
111.X.X.245 | 山西 | 移动 |
220.X.X.229 | 云南 | 电信 |
202.X.X.148 | 贵州 | 电信 |
218.X.X.102 | 宁夏 | 电信 |
(3)SSDP反射服务器资源
SSDP反射攻击利用了SSDP(一种应用层协议,是构成通用即插即用(UPnP)技术的核心协议之一)服务器存在的协议脆弱性,攻击者通过向SSDP服务器IP地址的默认端口1900发送伪造受害者IP地址的查询请求,使SSDP服务器向受害者IP地址反射返回比原始数据包大数倍的应答数据包,从而进行反射攻击。
2020年第1季度CNCERT/CC监测发现,参与反射攻击的SSDP反射服务器3012804个,其中境内反射服务器占比83.7%、云平台反射服务器占比0.1%,如图13所示。
图13 2020年第1季度SSDP反射服务器数量境内外分布和云平台占比
位于境外的反射服务器按国家或地区统计,排名前三位的分别为中国台湾(16.6%)、俄罗斯(13.0%)和加拿大(5.5%),其中如图14所示。
图14 2020年第1季度境外SSDP反射服务器数量按国家或地区分布
位于境内的反射服务器按省份统计,排名前三位的分别为辽宁省(20.7%)、浙江省(13.0%)和广东省(10.7%);按运营商统计,联通占60.5%,电信占38.0%,移动占0.9%,如图15所示。
图15 2020年第1季度境内SSDP反射服务器数量按省份和运营商分布
被利用参与SSDP反射攻击最多的境内反射服务器地址前二十名及归属如表5所示,位于上海市的地址最多。
表5 2020年第1季度被利用参与SSDP反射攻击最多的反射服务器地址Top20
反射服务器地址 | 归属省份 | 归属运营商 |
116.X.X.98 | 上海 | 电信 |
222.X.X.245 | 上海 | 电信 |
101.X.X.206 | 上海 | 电信 |
116.X.X.140 | 上海 | 电信 |
180.X.X.167 | 上海 | 电信 |
58.X.X.110 | 上海 | 联通 |
180.X.X.10 | 上海 | 电信 |
112.X.X.118 | 上海 | 联通 |
116.X.X.222 | 上海 | 电信 |
219.X.X.146 | 山西 | 电信 |
220.X.X.155 | 湖南 | 电信 |
220.X.X.175 | 安徽 | 电信 |
27.X.X.62 | 上海 | 联通 |
140.X.X.166 | 上海 | 联通 |
58.X.X.66 | 上海 | 联通 |
125.X.X.73 | 上海 | BGP多线 |
220.X.X.11 | 湖南 | 电信 |
59.X.X.242 | 山西 | 电信 |
118.X.X.118 | 甘肃 | 电信 |
140.X.X.174 | 上海 | 联通 |
(4)转发伪造流量的路由器分析
1. 跨域伪造流量来源路由器
2020年第1季度CNCERT/CC监测发现,转发跨域伪造流量的路由器34个;按省份统计,排名前三位的分别为浙江省(26.5%)、上海市(23.5%)和北京市(20.6%);按运营商统计,电信占76.5%,联通占11.8%,移动占11.8%,如图16所示。
图16 跨域伪造流量来源路由器数量按省份和运营商分布
根据参与攻击事件的数量统计,参与攻击事件最多的跨域伪造流量来源路由器地址前二十名及归属如表6所示,位于上海市和北京市的地址最多。
表6 2020年第1季度参与攻击最多的跨域伪造流量来源路由器TOP20
跨域伪造流量来源路由器 | 归属省份 | 归属运营商 |
124.X.X.1 | 上海 | 电信 |
124.X.X.250 | 上海 | 电信 |
202.X.X.23 | 上海 | 电信 |
202.X.X.24 | 上海 | 电信 |
202.X.X.21 | 上海 | 电信 |
219.X.X.70 | 北京 | 电信 |
202.X.X.17 | 上海 | 电信 |
202.X.X.223 | 四川 | 电信 |
202.X.X.222 | 四川 | 电信 |
219.X.X.30 | 北京 | 电信 |
221.X.X.253 | 广东 | 联通 |
202.X.X.60 | 北京 | 电信 |
202.X.X.61 | 北京 | 电信 |
219.X.X.144 | 北京 | 电信 |
219.X.X.45 | 北京 | 电信 |
211.X.X.8 | 浙江 | 移动 |
211.X.X.3 | 浙江 | 移动 |
202.X.X.241 | 江苏 | 电信 |
221.X.X.1 | 天津 | 电信 |
202.X.X.136 | 浙江 | 电信 |
2. 本地伪造流量来源路由器
2020年第1季度CNCERT/CC监测发现,转发本地伪造流量的路由器71个;按省份统计,排名前三位的分别为浙江省(19.7%)、四川省(18.3%)和江苏省(15.5%);按运营商统计,移动占49.3%,电信占43.7%,联通占7.0%,如图17所示。
图17 2020年第1季度本地伪造流量来源路由器数量按省份和运营商分布
根据参与攻击事件的数量统计,参与攻击事件最多的本地伪造流量来源路由器地址前二十名及归属如表7所示,位于浙江省和四川省的地址最多。
表7 2020年第1季度参与攻击最多的本地伪造流量来源路由器TOP20
本地伪造流量来源路由器 | 归属省份 | 归属运营商 |
220.X.X.127 | 浙江 | 电信 |
220.X.X.126 | 浙江 | 电信 |
202.X.X.137 | 浙江 | 电信 |
202.X.X.136 | 浙江 | 电信 |
218.X.X.130 | 四川 | 电信 |
218.X.X.129 | 四川 | 电信 |
202.X.X.2 | 四川 | 电信 |
118.X.X.168 | 四川 | 电信 |
118.X.X.169 | 四川 | 电信 |
61.X.X.1 | 四川 | 电信 |
202.X.X.65 | 四川 | 电信 |
61.X.X.221 | 浙江 | 电信 |
61.X.X.220 | 浙江 | 电信 |
61.X.X.1 | 浙江 | 电信 |
61.X.X.1 | 浙江 | 电信 |
61.X.X.4 | 浙江 | 电信 |
61.X.X.8 | 浙江 | 电信 |
202.X.X.65 | 四川 | 电信 |
202.X.X.66 | 四川 | 电信 |
211.X.X.9 | 贵州 | 移动 |
往期回顾
► 2019年12月|我国DDoS攻击资源月度分析报告
► 2019年11月|我国DDoS攻击资源月度分析报告
► 2019年10月|我国DDoS攻击资源月度分析报告
mongo按季度统计_2020年第一季度|我国DDoS攻击资源季度分析报告相关推荐
- mongo按季度统计_2020年第一季度电网工程设备材料信息价(完整版)
2020年第一季度电网工程设备材料信息价(完整版,51页) 本季度信息价数据来源于国家电网有限公司2020年第六批集中规模.2020年一季度特高压工程招标数据,反映了一段时间设备材料一般价格水平.本 ...
- mongo按季度统计_2020年前三季度全国地质灾害灾情及第四季度地质灾害趋势预测...
一.前三季度地质灾害灾情 (一)总体灾情. 前三季度全国共发生地质灾害7711起,其中滑坡4742起.崩塌1751起.泥石流895起.地面塌陷173起.地裂缝142起.地面沉降8起,共造成116人死亡 ...
- oracle 如何按季统计,【统计】Oracle按季度统计(详细)
--创建表 Test CTEATE TABLE TEST( ID NUMBER NOT NULL, MODIFIEDTIME DATE NOT NULL ) --按季度统计 SELECT TO_C ...
- mysql分季度统计数据,mysql按日周月季度统计数据
mysql按日周月季度统计数据 mysql按日.周.月.季度统计数据 1.使用DATE_FORMAT做等值条件查询 2.DATE_FORMAT函数语法,参考w3school 3.可使用格式 4.使用示 ...
- 2013年第一季度中国移动互联网应用安全检测与分析报告
近日,国家网络信息安全技术研究所软件安全评估中心对我国4家官方商店.7家IOS非官方商店和23家Android非官方商店分别进行了安全检测分析,并发布了分析报告,相比上期报告统计结果,我国2013年第 ...
- 需求分析报告应该包含哪些部分_2020最新抖音用户画像分析报告:粉丝都有哪些特点和需求?...
本文相关:抖音用户画像分析.抖音用户画像报告.2020最新抖音用户画像分析等 不管是做抖音运营还是抖音直播,了解粉丝,了解用户的需求是非常重要的!做任何事情,对症下药你才能事半功倍!比如你的粉丝想要梨 ...
- 2021年第一季度中国电竞行业网络关注度分析报告
新浪游戏联合新浪舆情通推出<中国电竞行业网络关注度分析报告·2021年Q1版>,本报告通过大数据视角透视2021年第一季度中国电竞行业发展现状,对中国电竞行业热度.细分行业信息传播规律.人 ...
- 我国工业自动化市场现状分析报告
我国工业自动化市场现状分析报告 2009-09-08 18:25 工业自动化市场概况 一.我国工业自动化市场特点 工控及自动化产业涉及电力.电子.计算机.人工智能.通讯.机电等诸多领域,属综合学科产业 ...
- JS 获取 今日、昨日、本周、本月、本季度、本年、上月、上周、上季度、去年...
/** * 日期范围工具类 */ var dateRangeUtil = (function () {/**** 获得当前时间*/this.getCurrentDate = function () { ...
最新文章
- sqldeveloper 连接oracle时 ora-12505 错误
- [云炬创业基础笔记]第六章商业模式测试8
- 索尼PS5上手体验公布:体积巨大运行安静
- iptables防火墙工作原理及简单配置访问策略
- 访问数组元素的 3 种方法
- markdown与latex:向量形式给字母加粗 \pmb{}
- Java自然语言处理NLP工具包
- python贪吃蛇设计思路_Python深度剖析贪吃蛇游戏的设计与实现
- Linux chmod文件授权命令
- 使用JAVA基础语法做一个简易的发票管理系统
- WINDOW端口查看命令
- java bitset_Java1.8-BitSet源码分析
- Jpeg图片旋转和Exif方向
- Vue3中关于getCurrentInstance的大坑
- 阿里云服务搭建微信小程序开发环境
- 为什么NoSQL数据库这么受欢迎?
- 第07篇 部署区块链浏览器(2)
- 3. 使用K8S部署tomcat
- 机器视觉运动控制一体机应用例程|端子裁切检测
- 那些年交换友链遇到的奇葩