网络安全观察攻击类型分布
威胁态势
1
攻击类型分布
从攻击类型来看 [^1],参与 DDoS攻击的 IP 是最多的,占所有恶意 IP 的 35% 以上。其次是 , 僵尸主机,扫描源。DDoS攻击 35.6% 垃圾邮件 22.8% 僵尸主机 22.6% 扫描源 7.6% Web攻击 5.9% 2.6%其他恶意类型 2.1% 0.5%矿机 0.2% 代理 0.1% 图 4.1 攻击类型分布 在所有的恶意 IP 中,有 19% 的恶意 IP 使用了多种攻击方法。对参与多种攻击的 IP 进行跟踪,发 现不同类型的攻击源之间有一些特定的转换模式,例如:
-
扫描源中超过 18% 的 IP 有发送垃圾邮件的行为,恶意扫描和垃圾邮件都需要较多的主机资源, 因为同一批资源可能同时在两种攻击中被使用。 僵尸主机与多种类型的攻击存在关联,最主要的行为就是发起 DDoS 攻击、发送、进 行恶意扫描,此外还有部分资源通过挖矿获取直接的效益。
地域分布
按攻击源 IP 的分布来看,在全球范围内,主要集中在中国、美国、越南、印度和巴西等国家,从 全国来看,主要集中在广东、山东、江苏、浙江和台湾等地区。 中国 29.18% 美国 8.26% 越南 7.05% 印度 6.18% 巴西 4.05% 俄罗斯 2.92% 英国 2.34% high 2.23% 5000000-10000000 德国 2.15% 1 000-5000000 印尼 1.88%100000-1000000 10000-100000 1000-10000 100-1000 10-100 <10 low 图 4.2 全球攻击源 IP 分布 广东 10.49% 山东 9.33% 江苏 8.46% 浙江 7.94% 台湾 6.02% 河南 4.63% 江西 4.49% 福建 3.40% 安徽 3.28% 四川 3.10% 581246 1236 high low 图 4.3 全国攻击源 IP 分布
按攻击目标 IP 的分布来看,在全球范围内,主要集中在中美两国,从全国来看,主要集中在广东、 江苏、北京、浙江、和上海等地区。经济活动越活跃,受到攻击的可能性就越大,这体现出攻击者逐利、 逐名的攻击诉求。
中国 美国 俄罗斯 日本 德国 澳大利亚 法国 high 英国 5000000-10000000 韩国 1000000-5000000 巴西 100000-1000000 10000-100000 1-10000 100-1000 10-100 <10 low 34.03% 21.48% 4.69% 3.14% 2.44% 2.38% 2.37% 2.29% 1.84% 1.76%
图 4.4 全球攻击目标 IP 分布 广东 15.10% 江苏 8.85% 北京 8.18% 浙江 7.86% 上海 7.35% 山东 5.42% 台湾 4.84% 香港 4.75% 江西 3.69% 四川 3.67% 938832 1793 high low 图 4.5 全国攻击目标 IP 分布
