本月重点关注情况

1、本月利用肉鸡发起 DDoS 攻击的控制端中，境外控制端超过一半位于美国；境内控制端最多位于浙江省，其次是江苏省、北京市和上海市，按归属运营商统计，电信占的比例最大。
2、本月参与攻击较多的肉鸡地址主要位于浙江省、江苏省、山东省和河南省，其中大量肉鸡地址归属于电信运营商。2018 年以来监测到的持续活跃的肉鸡资源中，位于山东省、上海市、广东省占的比例最大。
3、本月被利用发起 memcached 反射攻击境内反射服务器数量按省份统计排名前三名的省份是广东省、浙江省和江苏省；数量最多的归属运营商是电信。被利用发起 NTP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是湖北省、宁夏回族自治区和河南省；数量最多的归属运营商是电信。被利用发起 SSDP 反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、山东省和河南省；数量最多的归属运营商是联通。
4、转发伪造跨域攻击流量的路由器中，归属于新疆维吾尔自治区移动的路由器参与的攻击事件数量最多，2018 年以来被持续利用的跨域伪造流量来源路由器中，归属于江苏省、广东省和贵州省路由器数量最多。
5、转发伪造本地攻击流量的路由器中，归属于新疆维吾尔自治区电信的路由器参与的攻击事件数量最多，2018 年以来被持续利用的跨域伪造流量来源路由器中，归属于江苏省、江西省、贵州省和浙江省路由器数量最多。 
攻击资源定义
本报告为 2018 年 5 月份的 DDoS 攻击资源月度分析报告。围绕互联网环境威胁治理问题，基于 CNCERT 监测的 DDoS攻击事件数据进行抽样分析，重点对“DDoS 攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：
1、 控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起 DDoS 攻击的木马或僵尸网络控制端。
2、 肉鸡资源，指被控制端利用，向攻击目标发起 DDoS攻击的僵尸主机节点。
3、 反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如 DNS 服务器，NTP 服务器等），它们就可能成为被利用发起 DDoS 攻击的网络资源。
4、 跨域伪造流量来源路由器，是指转发了大量任意伪造IP 攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动 DDoS 攻击的设备。
5、 本地伪造流量来源路由器，是指转发了大量伪造本区域 IP 攻击流量的路由器。说明该路由器下的网络中存在发动DDoS 攻击的设备。
在本报告中，一次 DDoS 攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个 DDoS 攻击，攻击周期时长不超过 24 小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为 24 小时或更多，则该事件被认为是两次攻击。此外，DDoS 攻击资源及攻击目标地址均指其 IP 地址，它们的地理位置由它的 IP 地址定位得到。 
DDoS 攻击资源分析
（一）控制端资源分析
根据 CNCERT 抽样监测数据，2018 年 5 月，利用肉鸡发起 DDoS 攻击的控制端有 259 个，其中，43 个控制端位于我国境内，216 个控制端位于境外。位于境外的控制端按国家或地区分布，美国占的比例最大，占 50.5%，其次是中国香港和法国，如图 1 所示。

图 1 本月发起 DDoS 攻击的境外控制端数量按国家或地区分布
位于境内的控制端按省份统计，浙江省占的比例最大，占34.9%，其次是江苏省、北京市和上海市；按运营商统计，电信占的比例最大，占 76.7%，联通占 7.0%，移动占 2.3%，如图 2 所示。