网络安全观察攻击类型分布

威胁态势

1

攻击类型分布

从攻击类型来看 [^1]，参与 DDoS攻击的 IP 是最多的，占所有恶意 IP 的 35% 以上。其次是垃圾邮件
， 僵尸主机，扫描源。DDoS攻击 35.6%
垃圾邮件 22.8%
僵尸主机 22.6%
扫描源 7.6%
Web攻击 5.9%
安全漏洞
2.6%其他恶意类型 2.1%
恶意软件
0.5%矿机 0.2%
代理 0.1%
图 4.1 攻击类型分布
在所有的恶意 IP 中，有 19% 的恶意 IP 使用了多种攻击方法。对参与多种攻击的 IP 进行跟踪，发 现不同类型的攻击源之间有一些特定的转换模式，例如：

• 扫描源中超过 18% 的 IP 有发送垃圾邮件的行为，恶意扫描和垃圾邮件都需要较多的主机资源， 因为同一批资源可能同时在两种攻击中被使用。
• 僵尸主机与多种类型的攻击存在关联，最主要的行为就是发起 DDoS 攻击、发送垃圾邮件、进 行恶意扫描，此外还有部分资源通过挖矿获取直接的效益。

地域分布

按攻击源 IP 的分布来看，在全球范围内，主要集中在中国、美国、越南、印度和巴西等国家，从 全国来看，主要集中在广东、山东、江苏、浙江和台湾等地区。
中国 29.18% 美国 8.26%
越南 7.05%
印度 6.18%
巴西 4.05%
俄罗斯 2.92%
英国 2.34%
high 墨西哥 2.23%
5000000-10000000 德国 2.15%
1000
000-5000000 印尼 1.88%100000-1000000
10000-100000
1000-10000
100-1000
10-100
<10
low
图 4.2 全球攻击源 IP 分布
广东 10.49% 山东 9.33%
江苏 8.46%
浙江 7.94%
台湾 6.02%
河南 4.63%
江西 4.49%
福建 3.40%
安徽 3.28%
四川 3.10%
581246 1236

high low
图 4.3 全国攻击源 IP 分布

按攻击目标 IP 的分布来看，在全球范围内，主要集中在中美两国，从全国来看，主要集中在广东、 江苏、北京、浙江、和上海等地区。经济活动越活跃，受到攻击的可能性就越大，这体现出攻击者逐利、 逐名的攻击诉求。

中国 美国 俄罗斯 日本 德国
澳大利亚 法国
high 英国 5000000-10000000 韩国 1000000-5000000 巴西
100000-1000000
10000-100000
1000-10000 100-1000 10-100 <10
low
34.03%
21.48%
4.69% 3.14%
2.44% 2.38% 2.37% 2.29% 1.84% 1.76%

图 4.4 全球攻击目标 IP 分布
广东 15.10% 江苏 8.85%
北京 8.18%
浙江 7.86%
上海 7.35%
山东 5.42%
台湾 4.84%
香港 4.75%
江西 3.69%
四川 3.67%
938832 1793

high low
图 4.5 全国攻击目标 IP 分布

参考资料

绿盟 2019年网络安全观察

友情链接

绿盟 2018DDoS攻击态势报告