网络安全观察攻击类型分布
威胁态势
1
攻击类型分布
从攻击类型来看 [^1],参与 DDoS攻击的 IP 是最多的,占所有恶意 IP 的 35% 以上。其次是垃圾邮件
, 僵尸主机,扫描源。DDoS攻击 35.6%
垃圾邮件 22.8%
僵尸主机 22.6%
扫描源 7.6%
Web攻击 5.9%
安全漏洞
2.6%其他恶意类型 2.1%
恶意软件
0.5%矿机 0.2%
代理 0.1%
图 4.1 攻击类型分布
在所有的恶意 IP 中,有 19% 的恶意 IP 使用了多种攻击方法。对参与多种攻击的 IP 进行跟踪,发 现不同类型的攻击源之间有一些特定的转换模式,例如:
- 扫描源中超过 18% 的 IP 有发送垃圾邮件的行为,恶意扫描和垃圾邮件都需要较多的主机资源, 因为同一批资源可能同时在两种攻击中被使用。
- 僵尸主机与多种类型的攻击存在关联,最主要的行为就是发起 DDoS 攻击、发送垃圾邮件、进 行恶意扫描,此外还有部分资源通过挖矿获取直接的效益。
地域分布
按攻击源 IP 的分布来看,在全球范围内,主要集中在中国、美国、越南、印度和巴西等国家,从 全国来看,主要集中在广东、山东、江苏、浙江和台湾等地区。
中国 29.18% 
美国 8.26%
越南 7.05%
印度 6.18%
巴西 4.05%
俄罗斯 2.92%
英国 2.34%
high 墨西哥 2.23%
5000000-10000000 德国 2.15%
1000
000-5000000 印尼 1.88%100000-1000000
10000-100000
1000-10000
100-1000
10-100
<10
low
图 4.2 全球攻击源 IP 分布
广东 10.49% 
山东 9.33%
江苏 8.46%
浙江 7.94%
台湾 6.02%
河南 4.63%
江西 4.49%
福建 3.40%
安徽 3.28%
四川 3.10%
581246 1236
high low 
图 4.3 全国攻击源 IP 分布
按攻击目标 IP 的分布来看,在全球范围内,主要集中在中美两国,从全国来看,主要集中在广东、 江苏、北京、浙江、和上海等地区。经济活动越活跃,受到攻击的可能性就越大,这体现出攻击者逐利、 逐名的攻击诉求。
中国 美国 俄罗斯 日本 德国
澳大利亚 法国
high 英国 5000000-10000000 韩国 
1000000-5000000 巴西
100000-1000000
10000-100000
1000-10000 100-1000 10-100 <10
low
34.03%
21.48%
4.69% 3.14%
2.44% 2.38% 2.37% 2.29% 1.84% 1.76%
图 4.4 全球攻击目标 IP 分布
广东 15.10% 
江苏 8.85%
北京 8.18%
浙江 7.86%
上海 7.35%
山东 5.42%
台湾 4.84%
香港 4.75%
江西 3.69%
四川 3.67%
938832 1793
high low 
图 4.5 全国攻击目标 IP 分布
参考资料
绿盟 2019年网络安全观察
友情链接
绿盟 2018DDoS攻击态势报告