PDF《(2018 年11-12 月)》

被植入 后门占境内被植入后门的 51.6%;

被篡改网页占境内被篡改 网页的 58.3%;

受木马或僵尸网络控制的 IP 占境内全部受木 马或僵尸网络控制的 IP 的1.3%.而20 家境内云使用的 IP 数仅占境内全部 IP 数的 7.7%. 虽然境内云 IP 感染木马或僵尸网络的概率较低,但是 CNCERT CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 5/

30 在其他攻击上境内云则成为攻击的重灾区,其被攻击事件占 境内被攻击事件比例相对较高.一方面因为云上承载服务越 来越重要,使得针对云的攻击日益增多;

另一方面相比传统 企业,云用户对网络安全防护重视不够.

(一)DDoS 攻击分析 DDoS 攻击是指利用分布式的客户端, 向服务提供者发送 大量看似合法的请求,消耗或占用大量资源,从而使服务器 无法处理合法的请求.在本报告中,一次 DDoS 攻击是指不 同的攻击资源针对固定目标的单个 DDoS 攻击,攻击周期时 长不超过

24 小时;

如果相同的攻击目标被相同的攻击资源 所攻击,但持续时间超过

24 小时或更多,则被认为是两次 攻击. 根据 CNCERT 监测数据,2018 年11-12 月,20 家境内云 遭受 DDoS 攻击

27702 次,遭受攻击 IP 数12049;

全部境内 目标被 DDoS 攻击

40047 次,遭受攻击 IP 数18185;

20 家境 内云被攻击 IP 占境内被攻击 IP 的66.3%,20 家境内云遭受 攻击次数占境内目标被攻击次数的 69.2%. 遭受 DDoS 攻击次数较多的前五家云服务商分别是中国 电信 (39%) 、 阿里云 (39%) 、 腾讯云 (15%) 、 中国联通 (3%) 、 百度云(2%) ,如图 3-1 所示. CNCERT CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 6/

30 图3-1

2018 年11-12 月云服务商遭受 DDoS 攻击次数分布图 遭受 DDoS 攻击的 IP 分布如图 3-2 所示,其中中国电信 的IP 数最多,占比 37%,其次为阿里云 36%、腾讯云 18%、 中国联通 3%、百度云 3%. 图3-2

2018 年11-12 月云服务商遭受 DDoS 攻击目标 IP 数分布图 被攻击最多的目标 IP 地址 TOP

20 列表如表 3-1 所示, 前20 个攻击目标 IP 均被持续攻击,前3个攻击目标 IP 被 持续攻击了两个月.被攻击较多的前

20 个IP 主要归属云服 务商分别是中国电信(13 个)和阿里云(7 个) . 中国电信 39% 阿里云 39% 腾讯云 15% 中国联通 3% 百度云 2% 其他 2% 中国电信 阿里云 腾讯云 中国联通 百度云 其他

0 500

1000 1500

2000 2500

3000 3500

4000 4500

5000 CNCERT CNCERT 我国境内云网络安全态势报告(2018 年11-12 月) 7/

30 表3-1 被攻击较多的目标 IP 地址 TOP

20 攻击目标 IP 攻击次数 归属省份 归属云服务商 47.X.X.90

61 北京 阿里云 144.X.X.181

61 青岛 中国电信 14.X.X.128

61 佛山 中国电信 183.X.X.2

58 东莞 中国电信 59.X.X.222

58 福州 中国电信 27.X.X.110

58 福州 中国电信 47.X.X.210

54 青岛 阿里云 183.X.X.66

53 佛山 中国电信 59.X.X.88

53 北京 阿里云 14.X.X.190

50 东莞 中国电信 183.X.X.142

50 东莞 中国电信 120.X.X.114

50 深圳 阿里云 39.X.X.43

49 北京 阿里云 122.X.X.178

46 金华 中国电信 47.X.X.117

46 上海 阿里云 14.X.X.61

43 东莞 中国电信 120.X.X.201

42 深圳 阿里云 125.X.X.117

42 佛山 中国电信 125.X.X.198

42 内江 中国电信 14.X.X.135

42 东莞 中国电信

(二)后门攻击分析 后门攻击是指黑客在网站的特定目录中上传远程控制 页面,网站服务器被黑客通过该页面秘密远程控制.在本报 告中,一次后门攻击是指云上服务器被植入一个新的网站后 门,网站后门被更新修改则不认为是新的攻击. 根据 CNCERT 监测数据,2018 年11-12 月,20 家境内云 的2541 个IP 被植入网站后门