1、 我國 DDoS 攻擊資源分析報告 （2020 年第 1 季度） 國家計算機網絡應急技術處理協調中心 2020 年 5 月 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 2/ 20 目 錄 一、引言 . 3 （一）攻擊資源定義 . 3 （二）本季度重點關注情況 . 4 二、DDoS 攻擊資源分析 . 5 （一）控制端資源分析. 5 （二）肉雞資源分析 . 7 （三）反射攻擊資源分析 . 10 （1）Memcached 反射服務器資源 . 10 （2）NTP 反射服務器資源 . 12 （3）SSDP 反射服務器資源 . 15 （四）轉發偽造流量的路由器分析 . 17

2、 （1）跨域偽造流量來源路由器 . 17 （2）本地偽造流量來源路由器 . 19 CNCERT CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 3/ 20 一、引言 （一）攻擊資源定義 本報告為 2020 年第 1 季度的 DDoS 攻擊資源分析報告。圍繞互聯網環境威脅治理問題，基于 CNCERT 監測的 DDoS攻擊事件數據進行抽樣分析，重點對“DDoS 攻擊是從哪些網絡資源上發起的” 這個問題進行分析。 主要分析的攻擊資源包括： 1、 控制端資源， 指用來控制大量的僵尸主機節點向攻擊目標發起 DDoS 攻擊的僵尸網絡控制端。 2、 肉雞資源，指被控制端利用，向攻

3、擊目標發起 DDoS攻擊的僵尸主機節點。 3、 反射服務器資源， 指能夠被黑客利用發起反射攻擊的服務器、主機等設施，它們提供的某些網絡服務（如 DNS 服務器，NTP 服務器等），不需要進行認證并且具有放大效果，又在互聯網上大量部署， 從而成為被利用發起 DDoS 反射攻擊的網絡資源。 4、 跨域偽造流量來源路由器， 是指轉發了大量任意偽造IP 攻擊流量的路由器。由于我國要求運營商在接入網上進行源地址驗證， 因此跨域偽造流量的存在， 說明該路由器或其下路由器的源地址驗證配置可能存在缺陷， 且該路由器下的網絡中存在發動 DDoS 攻擊的設備。 CNCERT 我國 DDoS 攻擊資源分析報告（20

4、20 年第 1 季度） 4/ 20 5、 本地偽造流量來源路由器， 是指轉發了大量偽造本區域 IP 攻擊流量的路由器。說明該路由器下的網絡中存在發動DDoS 攻擊的設備。 在本報告中， 一次 DDoS 攻擊事件是指在經驗攻擊周期內，不同的攻擊資源針對固定目標的單個 DDoS 攻擊， 攻擊周期時長不超過 24 小時。如果相同的攻擊目標被相同的攻擊資源所攻擊， 但間隔為 24 小時或更多， 則該事件被認為是兩次攻擊。此外，DDoS 攻擊資源及攻擊目標地址均指其 IP 地址，它們的地理位置由它的 IP 地址定位得到。 （二）本季度重點關注情況 1、本季度利用肉雞發起攻擊的活躍控制端中，境外控制端按國

5、家和地區統計，最多位于美國、荷蘭和德國；境內控制端按省份統計，最多位于江蘇省、上海市和北京市，按歸屬運營商統計，電信占比最大。 2、本季度參與攻擊的活躍境內肉雞中，按省份統計最多位于江蘇省、廣東省和浙江??；按歸屬運營商統計，電信占比最大。 3、 本季度被利用參與 Memcached 反射攻擊的活躍境內反射服務器中， 按省份統計排名前三名的省份是廣東省、 湖南省、和廣西??；數量最多的歸屬運營商是電信。被利用參與 NTP反射攻擊的活躍境內反射服務器中， 按省份統計排名前三名的CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 5/ 20 省份是河北省、 湖北省和河南??； 數

6、量最多的歸屬運營商是聯通。被利用參與 SSDP 反射攻擊的活躍境內反射服務器中，按省份統計排名前三名的省份是遼寧省、 浙江省和廣東??； 數量最多的歸屬運營商是聯通。 4、本季度轉發偽造跨域攻擊流量的路由器中，位于浙江省、 上海市和北京市的路由器數量最多。 本季度轉發偽造本地攻擊流量的路由器中， 位于浙江省、 四川省和江蘇省的路由器數量最多。 二、DDoS 攻擊資源分析 （一）控制端資源分析 2020 年第 1 季度 CNCERT/CC 監測發現，利用肉雞發起DDoS 攻擊的活躍控制端有 1294 個，其中境外控制端占比94.4%、云平臺控制端占比 83.9%，如圖 1 所示，與 2019 年相

7、比境外控制端占比進一步提高。 圖 1 2020 年第 1 季度發起 DDoS 攻擊的控制端數量境內外分布和云平臺占比 云 83.9% 其他 16.1% 控制端云平臺占比控制端云平臺占比 境內 5.6% 境外 94.4% 控制端境內外分布控制端境內外分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 6/ 20 位于境外的控制端按國家或地區統計， 排名前三位的分別為美國（35.4%）、荷蘭（13.8%）和德國（13.3%），其中如圖 2 所示。 圖 2 2020 年第 1 季度發起 DDoS 攻擊的境外控制端數量按國家或地區分布 位于境內的控制端按省份統計， 排名前

8、三位的分別為江蘇?。?3.6%）、上海市（20.8%）和北京市（15.3%）；按運營商統計，電信占 38.8%，聯通占 32.1%，移動占 21.6%，如圖3 所示。 圖 3 2020 年第 1 季度發起 DDoS 攻擊的境內控制端數量按省份和運營商分布 發起攻擊最多的境內控制端地址前二十名及歸屬如表 1美國 35.4% 荷蘭 13.8% 德國 13.3% 英國 4.8% 中國香港 4.7% 加拿大 3.8% 新加坡 3.3% 俄羅斯 2.0% 法國 2.0% 其他 16.8% 控制端境外分布控制端境外分布 電信 38.8% 聯通 32.1% 移動 21.6% 其他 7.5% 控制端境內運營商

9、分布控制端境內運營商分布 江蘇 23.6% 上海 20.8% 北京 15.3% 浙江 6.9% 廣東 5.6% 吉林 5.6% 遼寧 4.2% 河南 4.2% 山東 4.2% 其他 9.7% 控制端境內分布控制端境內分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 7/ 20 所示，位于江蘇省和上海市的地址最多。 表 1 2020 年第 1 季度發起攻擊的境內控制端 TOP20 控制端地址控制端地址 歸屬省份歸屬省份 歸屬運營商或云服務商歸屬運營商或云服務商 180.X.X.237 江蘇 電信 122.X.X.163 河南 BGP 多線 61.X.X.106 江

10、蘇 電信 183.X.X.217 廣東 電信 61.X.X.121 江蘇 電信 111.X.X.179 安徽 移動 193.X.X.99 廣東 騰訊云 180.X.X.50 江蘇 電信 218.X.X.64 江蘇 電信 125.X.X.39 廣東 電信 122.X.X.232 上海 華為云 119.X.X.92 上海 華為云 119.X.X.154 上海 華為云 122.X.X.98 上海 華為云 122.X.X.62 上海 華為云 121.X.X.197 浙江 阿里云 222.X.X.162 江蘇 電信 111.X.X.16 江蘇 BGP 多線 122.X.X.228 上海 騰訊云 49.X

11、.X.111 上海 騰訊云 （二）肉雞資源分析 2020 年第 1 季度 CNCERT/CC 監測發現，參與真實地址攻擊（包含真實地址攻擊與反射攻擊等其他攻擊的混合攻擊）的肉雞 810081 個，其中境內肉雞占比 91.5%、云平臺肉雞占比 2.8%，如圖 4 所示。 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 8/ 20 圖 4 2020 年第 1 季度參與 DDoS 攻擊的肉雞數量境內外分布和云平臺占比 位于境外的肉雞按國家或地區統計， 排名前三位的分別為美國（19.9%）、越南（7.6%）和巴西（6.2%），其中如圖 5所示。 圖 5 2020 年第 1

12、季度參與 DDoS 攻擊的境外肉雞數量按國家或地區分布 位于境內的肉雞按省份統計， 排名前三位的分別為江蘇?。?2.6%）、廣東?。?0.5%）和浙江?。?.1%）；按運營商統計，電信占 54.8%，聯通占 25.9%，移動占 9.7%，如圖 6所示。 美國 19.9% 越南 7.6% 巴西 6.2% 中國臺灣 5.3% 俄羅斯 4.3% 中國香港 4.3% 印度 4.1% 日本 3.5% 泰國 3.3% 其他 41.4% 肉雞境外分布肉雞境外分布 云 2.8% 其他 97.2% 肉雞云平臺占比肉雞云平臺占比 境內 91.5% 境外 8.5% 肉雞境內外分布肉雞境內外分布 CNCERT 我國

13、DDoS 攻擊資源分析報告（2020 年第 1 季度） 9/ 20 圖 6 2020 年第 1 季度參與 DDoS 攻擊的境內肉雞數量按省份和運營商分布 參與攻擊最多的境內肉雞地址前二十名及歸屬如表 2 所示，位于北京市的地址最多。 表 2 2020 年第 1 季度參與攻擊最多的境內肉雞地址 TOP20 肉雞地址肉雞地址 歸屬省份歸屬省份 歸屬運營商歸屬運營商 111.X.X.145 北京 聯通 39.X.X.75 廣東 阿里云 101.X.X.51 上海 360 云 39.X.X.100 北京 阿里云 124.X.X.117 北京 BGP 多線 111.X.X.131 北京 聯通 111.X

14、.X.139 北京 聯通 111.X.X.124 北京 聯通 111.X.X.93 北京 聯通 123.X.X.121 北京 BGP 多線 111.X.X.233 北京 聯通 111.X.X.201 北京 聯通 36.X.X.5 北京 電信 111.X.X.227 北京 聯通 154.X.X.237 北京 騰訊云 111.X.X.195 北京 聯通 122.X.X.52 上海 騰訊云 118.X.X.241 重慶 騰訊云 94.X.X.120 重慶 騰訊云 122.X.X.218 上海 騰訊云 電信 54.8% 聯通 25.9% 移動 9.7% 其他 9.6% 肉雞境內運營商分布肉雞境內運營商

15、分布 江蘇 12.6% 廣東 10.5% 浙江 9.1% 山東 7.9% 安徽 7.7% 河南 5.1% 江西 5.0% 四川 4.8% 遼寧 4.0% 其他 33.3% 肉雞境內分布肉雞境內分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 10/ 20 （三）反射攻擊資源分析 2020 年第 1 季度 CNCERT/CC 監測發現，參與反射攻擊的三類重點反射服務器 5379142 臺， 其中境內反射服務器占比64.7%，Memcached 反射服務器占比 3.0%，NTP 反射服務器占比 41.0%，SSDP 反射服務器占比 56.0%。 （1）Memcach

16、ed 反射服務器資源 Memcached反射攻擊利用了在互聯網上暴露的大批量Memcached 服務器（一種分布式緩存系統）存在的認證和設計缺陷，攻擊者通過向 Memcached 服務器 IP 地址的默認端口 11211 發送偽造受害者 IP 地址的特定指令 UDP 數據包， 使 Memcached 服務器向受害者 IP 地址返回比請求數據包大數倍的數據，從而進行反射攻擊。 2020 年第 1 季度 CNCERT/CC 監測發現，參與反射攻擊的 Memcached 反射服務器 158855 個， 其中境內反射服務器占比 97.6%、云平臺反射服務器占比 2.2%，如圖 7 所示。 圖 7 20

17、20 年第 1 季度 Memcached 反射服務器數量境內外分布和云平臺占比 云 2.2% 其他 97.8% 反射服務器云平臺占比反射服務器云平臺占比 境內 97.6% 境外 2.4% 反射服務器境內外分布反射服務器境內外分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 11/ 20 位于境外的反射服務器按國家或地區統計， 排名前三位的分別為美國（22.7%）、中國香港（7.1%）和法國（6.9%），其中如圖 8 所示。 圖 8 2020 年第 1 季度境外 Memcached 反射服務器數量按國家或地區分布 位于境內的反射服務器按省份統計， 排名前三位的分別

18、為廣東?。?4.7%）、湖南?。?.7%）和廣西?。?.9%）；按運營商統計，電信占 76.7%，聯通占 14.4%，移動占 8.4%，如圖9 所示。 圖 9 2020 年第 1 季度境內 Memcached 反射服務器數量按省份和運營商分布 被利用參與 Memcached 反射攻擊最多的境內反射服務器美國 22.7% 中國香港 7.1% 法國 6.9% 德國 6.4% 俄羅斯 4.8% 印度 4.1% 日本 4.0% 越南 3.6% 加拿大 3.5% 其他 37.0% 反射服務器反射服務器境外分布境外分布 電信 76.7% 移動 14.4% 聯通 8.4% 其他 0.5% 反射服務器反射服務

19、器境內運營商分布境內運營商分布 廣東 14.7% 湖南 7.7% 廣西 6.9% 河北 6.0% 山東 5.3% 四川 4.9% 甘肅 4.4% 陜西 3.9% 安徽 3.7% 其他 42.4% 反射服務器反射服務器境內分布境內分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 12/ 20 地址前二十名及歸屬如表 3 所示， 位于上海市和北京市的地址最多。 表 3 2020 年第 1 季度被利用參與 Memcached 反射攻擊最多的反射服務器地址 Top20 反射服務器地址反射服務器地址 歸屬省份歸屬省份 歸屬運營商或云服務商歸屬運營商或云服務商 58.X.X

20、.30 廣東 聯通 210.X.X.98 北京 聯通 120.X.X.166 上海 移動 120.X.X.253 上海 金山云 113.X.X.112 廣東 電信 120.X.X.112 上海 移動 119.X.X.93 北京 BGP 多線 121.X.X.221 廣東 BGP 多線 60.X.X.82 安徽 電信 117.X.X.51 甘肅 移動 106.X.X.69 北京 百度云 114.X.X.60 上海 京東云 139.X.X.209 上海 阿里云 221.X.X.43 黑龍江 聯通 120.X.X.175 上海 金山云 123.X.X.192 北京 聯通 122.X.X.68 浙江

21、電信 202.X.X.85 北京 聯通 61.X.X.141 北京 聯通 27.X.X.166 上海 聯通 （2）NTP 反射服務器資源 NTP 反射攻擊利用了 NTP（一種通過互聯網服務于計算機時鐘同步的協議） 服務器存在的協議脆弱性， 攻擊者通過向NTP服務器 IP地址的默認端口123發送偽造受害者 IP地址的Monlist 指令數據包，使 NTP 服務器向受害者 IP 地址反射返回比原始數據包大數倍的數據，從而進行反射攻擊。 2020 年第 1 季度 CNCERT/CC 監測發現，參與反射攻擊的 NTP 反射服務器 2207483 個， 其中境內反射服務器占比 36.CNCERT 我國

22、DDoS 攻擊資源分析報告（2020 年第 1 季度） 13/ 20 4%、云平臺反射服務器占比 1.7%，如圖 10 所示，與 2019 年相比境外反射服務器占比大幅度提高。 圖 10 2020 年第 1 季度 NTP 反射服務器數量境內外分布和云平臺占比 位于境外的反射服務器按國家或地區統計， 排名前三位的分別為越南（59.5%）、巴西（11.8%）和巴基斯坦（5.2%），其中如圖 11 所示。 圖 11 2020 年第 1 季度境外 NTP 反射服務器數量按國家或地區分布 位于境內的反射服務器按省份統計， 排名前三位的分別為河北?。?0.3%）、湖北?。?8.3%）和河南?。?0.5%）

23、；按運營商統計，聯通占 51.3%，電信占 41.5%，移動占 7.0%，如越南 59.5% 巴西 11.8% 巴基斯坦 5.2% 委內瑞拉 3.9% 烏克蘭 2.6% 美國 2.4% 俄羅斯 2.3% 印度 1.1% 波蘭 0.9% 其他 10.2% 反射服務器反射服務器境外分布境外分布 云 1.7% 其他 98.3% 反射服務器云平臺占比反射服務器云平臺占比 境內 36.4% 境外 63.6% 反射服務器境內外分布反射服務器境內外分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 14/ 20 圖 12 所示。 圖 12 2020 年第 1 季度境內 NTP

24、反射服務器數量按省份和運營商分布 被利用參與 NTP 反射攻擊最多的境內反射服務器地址前二十名及歸屬如表 4 所示，位于安徽省的地址最多。 表 4 2020 年第 1 季度被利用參與 NTP 反射攻擊最多的反射服務器地址 Top20 反射服務器地址反射服務器地址 歸屬省份歸屬省份 歸屬運營商歸屬運營商 112.X.X.102 安徽 移動 202.X.X.52 海南 電信 122.X.X.5 吉林 聯通 122.X.X.20 吉林 聯通 111.X.X.217 山西 移動 222.X.X.3 貴州 電信 222.X.X.150 湖南 電信 111.X.X.7 湖南 移動 211.X.X.138

25、山西 移動 220.X.X.154 海南 電信 203.X.X.44 遼寧 電信 120.X.X.206 安徽 移動 111.X.X.71 安徽 移動 111.X.X.99 安徽 移動 112.X.X.80 安徽 移動 111.X.X.62 寧夏 電信 111.X.X.245 山西 移動 220.X.X.229 云南 電信 202.X.X.148 貴州 電信 218.X.X.102 寧夏 電信 聯通 51.3% 電信 41.5% 移動 7.0% 其他 0.2% 反射服務器反射服務器境內運營商分布境內運營商分布 河北 20.3% 湖北 18.3% 河南 10.5% 山西 7.3% 山東 7.0%

26、 廣東 5.4% 浙江 5.3% 遼寧 4.7% 江蘇 2.5% 其他 18.7% 反射服務器反射服務器境內分布境內分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 15/ 20 （3）SSDP 反射服務器資源 SSDP 反射攻擊利用了 SSDP（一種應用層協議，是構成通用即插即用(UPnP)技術的核心協議之一） 服務器存在的協議脆弱性，攻擊者通過向 SSDP 服務器 IP 地址的默認端口 1900發送偽造受害者 IP 地址的查詢請求，使 SSDP 服務器向受害者 IP 地址反射返回比原始數據包大數倍的應答數據包，從而進行反射攻擊。 2020 年第 1 季度 C

27、NCERT/CC 監測發現，參與反射攻擊的 SSDP 反射服務器 3012804 個，其中境內反射服務器占比 83.7%、云平臺反射服務器占比 0.1%，如圖 13 所示。 圖 13 2020 年第 1 季度 SSDP 反射服務器數量境內外分布和云平臺占比 位于境外的反射服務器按國家或地區統計， 排名前三位的分別為中國臺灣 （16.6%） 、 俄羅斯 （13.0%） 和加拿大 （5.5%） ，其中如圖 14 所示。 云 0.1% 其他 99.9% 反射服務器云平臺占比反射服務器云平臺占比 境內 83.7% 境外 16.3% 反射服務器境內外分布反射服務器境內外分布 CNCERT 我國 DDoS

28、 攻擊資源分析報告（2020 年第 1 季度） 16/ 20 圖 14 2020 年第 1 季度境外 SSDP 反射服務器數量按國家或地區分布 位于境內的反射服務器按省份統計， 排名前三位的分別為遼寧?。?0.7%）、浙江?。?3.0%）和廣東?。?0.7%）；按運營商統計，聯通占 60.5%，電信占 38.0%，移動占 0.9%，如圖 15 所示。 圖 15 2020 年第 1 季度境內 SSDP 反射服務器數量按省份和運營商分布 被利用參與 SSDP 反射攻擊最多的境內反射服務器地址前二十名及歸屬如表 5 所示，位于上海市的地址最多。 中國臺灣 16.6% 俄羅斯 13.0% 加拿大 5.

29、5% 韓國 5.3% 意大利 5.2% 美國 4.9% 巴西 4.3% 烏克蘭 3.7% 日本 3.5% 其他 38.0% 反射服務器反射服務器境外分布境外分布 聯通 60.5% 電信 38.0% 移動 0.9% 其他 0.6% 反射服務器反射服務器境內運營商分布境內運營商分布 遼寧 20.7% 浙江 13.0% 廣東 10.7% 吉林 9.4% 黑龍江 6.9% 山西 5.2% 江蘇 4.6% 北京 3.4% 廣西 2.9% 其他 23.3% 反射服務器反射服務器境內分布境內分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 17/ 20 表 5 2020 年第

30、 1 季度被利用參與 SSDP 反射攻擊最多的反射服務器地址 Top20 反射服務器地址反射服務器地址 歸屬省份歸屬省份 歸屬運營商歸屬運營商 116.X.X.98 上海 電信 222.X.X.245 上海 電信 101.X.X.206 上海 電信 116.X.X.140 上海 電信 180.X.X.167 上海 電信 58.X.X.110 上海 聯通 180.X.X.10 上海 電信 112.X.X.118 上海 聯通 116.X.X.222 上海 電信 219.X.X.146 山西 電信 220.X.X.155 湖南 電信 220.X.X.175 安徽 電信 27.X.X.62 上海 聯通

31、 140.X.X.166 上海 聯通 58.X.X.66 上海 聯通 125.X.X.73 上海 BGP 多線 220.X.X.11 湖南 電信 59.X.X.242 山西 電信 118.X.X.118 甘肅 電信 140.X.X.174 上海 聯通 （四）轉發偽造流量的路由器分析 （1）跨域偽造流量來源路由器 2020 年第 1 季度 CNCERT/CC 監測發現，轉發跨域偽造流量的路由器 34 個；按省份統計，排名前三位的分別為浙江?。?6.5%）、上海市（23.5%）和北京市（20.6%）；按運營商統計，電信占 76.5%，聯通占 11.8%，移動占 11.8%，如圖16 所示。 CNC

32、ERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 18/ 20 圖 16 跨域偽造流量來源路由器數量按省份和運營商分布 根據參與攻擊事件的數量統計， 參與攻擊事件最多的跨域偽造流量來源路由器地址前二十名及歸屬如表 6 所示， 位于上海市和北京市的地址最多。 表 6 2020 年第 1 季度參與攻擊最多的跨域偽造流量來源路由器 TOP20 跨域偽造流量來源路由器跨域偽造流量來源路由器 歸屬省份歸屬省份 歸屬運營商歸屬運營商 124.X.X.1 上海 電信 124.X.X.250 上海 電信 202.X.X.23 上海 電信 202.X.X.24 上海 電信 202.X.X.2

33、1 上海 電信 219.X.X.70 北京 電信 202.X.X.17 上海 電信 202.X.X.223 四川 電信 202.X.X.222 四川 電信 219.X.X.30 北京 電信 221.X.X.253 廣東 聯通 202.X.X.60 北京 電信 202.X.X.61 北京 電信 219.X.X.144 北京 電信 219.X.X.45 北京 電信 211.X.X.8 浙江 移動 211.X.X.3 浙江 移動 202.X.X.241 江蘇 電信 221.X.X.1 天津 電信 202.X.X.136 浙江 電信 電信 76.5% 聯通 11.8% 移動 11.8% 跨域偽造流量來

34、源路由器跨域偽造流量來源路由器運營運營商分布商分布 浙江 26.5% 上海 23.5% 北京 20.6% 天津 8.8% 江蘇 5.9% 廣東 5.9% 四川 5.9% 河北 2.9% 跨域偽造流量來源路由器跨域偽造流量來源路由器分布分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 19/ 20 （2）本地偽造流量來源路由器 2020 年第 1 季度 CNCERT/CC 監測發現，轉發本地偽造流量的路由器 71 個；按省份統計，排名前三位的分別為浙江?。?9.7%）、四川?。?8.3%）和江蘇?。?5.5%）；按運營商統計，移動占 49.3%，電信占 43.7%

35、，聯通占 7.0%，如圖17 所示。 圖 17 2020 年第 1 季度本地偽造流量來源路由器數量按省份和運營商分布 根據參與攻擊事件的數量統計， 參與攻擊事件最多的本地偽造流量來源路由器地址前二十名及歸屬如表 7 所示， 位于浙江省和四川省的地址最多。 表 7 2020 年第 1 季度參與攻擊最多的本地偽造流量來源路由器 TOP20 本地偽造流量來源路由器本地偽造流量來源路由器 歸屬省份歸屬省份 歸屬運營商歸屬運營商 220.X.X.127 浙江 電信 220.X.X.126 浙江 電信 202.X.X.137 浙江 電信 202.X.X.136 浙江 電信 218.X.X.130 四川 電

36、信 218.X.X.129 四川 電信 202.X.X.2 四川 電信 118.X.X.168 四川 電信 移動 49.3% 電信 43.7% 聯通 7.0% 本地偽造流量來源路由器本地偽造流量來源路由器運營運營商分布商分布 浙江 19.7% 四川 18.3% 江蘇 15.5% 貴州 7.0% 新疆 4.2% 廣西 4.2% 云南 2.8% 廣東 2.8% 黑龍江 2.8% 其他 22.5% 本地本地偽造流量來源路由器偽造流量來源路由器分布分布 CNCERT 我國 DDoS 攻擊資源分析報告（2020 年第 1 季度） 20/ 20 本地偽造流量來源路由器本地偽造流量來源路由器 歸屬省份歸屬省份 歸屬運營商歸屬運營商 118.X.X.169 四川 電信 61.X.X.1 四川 電信 202.X.X.65 四川 電信 61.X.X.221 浙江 電信 61.X.X.220 浙江 電信 61.X.X.1 浙江 電信 61.X.X.1 浙江 電信 61.X.X.4 浙江 電信 61.X.X.8 浙江 電信 202.X.X.65 四川 電信 202.X.X.66 四川 電信 211.X.X.9 貴州 移動