本月重點關注情況

1、本月利用肉雞發起 DDoS 攻擊的控制端中，境外控制端超過一半位于美國；境內控制端最多位于浙江省，其次是江蘇省、北京市和上海市，按歸屬運營商統計，電信占的比例最大。
2、本月參與攻擊較多的肉雞地址主要位于浙江省、江蘇省、山東省和河南省，其中大量肉雞地址歸屬于電信運營商。2018 年以來監測到的持續活躍的肉雞資源中，位于山東省、上海市、廣東省占的比例最大。
3、本月被利用發起 memcached 反射攻擊境內反射服務器數量按省份統計排名前三名的省份是廣東省、浙江省和江蘇省；數量最多的歸屬運營商是電信。被利用發起 NTP 反射攻擊的境內反射服務器數量按省份統計排名前三名的省份是湖北省、寧夏回族自治區和河南省；數量最多的歸屬運營商是電信。被利用發起 SSDP 反射攻擊的境內反射服務器數量按省份統計排名前三名的省份是遼寧省、山東省和河南省；數量最多的歸屬運營商是聯通。
4、轉發偽造跨域攻擊流量的路由器中，歸屬于新疆維吾爾自治區移動的路由器參與的攻擊事件數量最多，2018 年以來被持續利用的跨域偽造流量來源路由器中，歸屬于江蘇省、廣東省和貴州省路由器數量最多。
5、轉發偽造本地攻擊流量的路由器中，歸屬于新疆維吾爾自治區電信的路由器參與的攻擊事件數量最多，2018 年以來被持續利用的跨域偽造流量來源路由器中，歸屬于江蘇省、江西省、貴州省和浙江省路由器數量最多。 
攻擊資源定義
本報告為 2018 年 5 月份的 DDoS 攻擊資源月度分析報告。圍繞互聯網環境威脅治理問題，基于 CNCERT 監測的 DDoS攻擊事件數據進行抽樣分析，重點對“DDoS 攻擊是從哪些網絡資源上發起的”這個問題進行分析。主要分析的攻擊資源包括：
1、 控制端資源，指用來控制大量的僵尸主機節點向攻擊目標發起 DDoS 攻擊的木馬或僵尸網絡控制端。
2、 肉雞資源，指被控制端利用，向攻擊目標發起 DDoS攻擊的僵尸主機節點。
3、 反射服務器資源，指能夠被黑客利用發起反射攻擊的服務器、主機等設施，它們提供的網絡服務中，如果存在某些網絡服務，不需要進行認證并且具有放大效果，又在互聯網上大量部署（如 DNS 服務器，NTP 服務器等），它們就可能成為被利用發起 DDoS 攻擊的網絡資源。
4、 跨域偽造流量來源路由器，是指轉發了大量任意偽造IP 攻擊流量的路由器。由于我國要求運營商在接入網上進行源地址驗證，因此跨域偽造流量的存在，說明該路由器或其下路由器的源地址驗證配置可能存在缺陷，且該路由器下的網絡中存在發動 DDoS 攻擊的設備。
5、 本地偽造流量來源路由器，是指轉發了大量偽造本區域 IP 攻擊流量的路由器。說明該路由器下的網絡中存在發動DDoS 攻擊的設備。
在本報告中，一次 DDoS 攻擊事件是指在經驗攻擊周期內，不同的攻擊資源針對固定目標的單個 DDoS 攻擊，攻擊周期時長不超過 24 小時。如果相同的攻擊目標被相同的攻擊資源所攻擊，但間隔為 24 小時或更多，則該事件被認為是兩次攻擊。此外，DDoS 攻擊資源及攻擊目標地址均指其 IP 地址，它們的地理位置由它的 IP 地址定位得到。 
DDoS 攻擊資源分析
（一）控制端資源分析
根據 CNCERT 抽樣監測數據，2018 年 5 月，利用肉雞發起 DDoS 攻擊的控制端有 259 個，其中，43 個控制端位于我國境內，216 個控制端位于境外。位于境外的控制端按國家或地區分布，美國占的比例最大，占 50.5%，其次是中國香港和法國，如圖 1 所示。

圖 1 本月發起 DDoS 攻擊的境外控制端數量按國家或地區分布
位于境內的控制端按省份統計，浙江省占的比例最大，占34.9%，其次是江蘇省、北京市和上海市；按運營商統計，電信占的比例最大，占 76.7%，聯通占 7.0%，移動占 2.3%，如圖 2 所示。