1、本月参与攻击较多的肉鸡地址大量归属于江苏省。其中，涉及江苏省移动多个地址段的肉鸡被反复多次利用，需要重点关注，详见2.2节。2、本月包含跨域伪造流量的DDoS攻击事件占事件总量的比例较上月有较大程度的下降。归属于浙江省和上海市的近两年持续活跃的跨域伪造流量来源路由器数量最多，详见2.4节。3、近期持续活跃的本地伪造流量来源路由器数量占比最大的省份为江苏省、江西省、和福建省，详见2.4节。4、通过对近两月的DDoS攻击情况进行对比，境内真实地址攻击事件量、伪造流量攻击事件量在绝大部分省份均有不同程度的减少，治理效果较明显。特别地，北京市、山西省上月的威胁治理工作效果显著，攻击资源和事件数量均有较大程度的下降。

《2021年中国云抗DDOS服务系列报告（一）：DDOS安全态势与服务模式》来自头豹研究院，本文主要研究了中国云抗DDOS行业挑战与机遇，以及行业未来发展趋势。

近期，CNCERT深度分析了我国大陆地区发生的数千起DDoS（分布式拒绝服务）攻击事件。本报告围绕互联网环境威胁治理问题，对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括：控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。

CNCERT针对多种主要用于发起DDoS攻击的僵尸网络家族进行抽样监测，并对2018年全年涉及的攻击资源和攻击团伙进行了多维分析，发现C&C控制端IP共2108个，总肉鸡IP数量为140万余台，受攻击目标IP数目9万余台，共发现攻击团伙50个，其中涉及活跃攻击团伙16个，共包含358个C&C控制端IP，总共攻击约3万个目标IP，在全年攻击目标中占比31%。

2015全年，360威胁情报中心共监测到全球网络DDoS攻击27489410次，被攻击网站数量多达776095个，平均每个被攻击的网站遭遇DDoS攻击35.4次；DDOS攻击全年给网站经营者造成的经济损失至少为：投入成本损失≈17.8亿；商业价值损失≈178.5亿。流量收入损失不低于1.67亿元；本文还对僵尸网络及DDoS服务的黑产链条进行了长期监测和追踪分析。根据目前已经掌握的情报线索来看，DDoS攻击黑色产业链上，从业人员大致可以分为四类：木马作者、网络黑客、地下承包商以及网络黑帮。据估计，DDoS黑产的年收入应当在1.18亿元-2.59亿元之间。平均而言（折中收入），应在2.3亿元人民币左右。

本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。 4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。 4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

本报告为2021年第2季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对"DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。

本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。 4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

本报告为2021年第1季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的某些网络服务（如DNS服务器，NTP服务器等），不需要进行认证并且具有放大效果，又在互联网上大量部署，从而成为被利用发起DDoS反射攻击的网络资源。 4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

本报告为2020年第3季度的DDoS攻击资源分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。

围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS 攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。

本报告为2018年6月份的DDoS攻击资源月度分析及半年治理情况分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。主要分析的攻击资源包括： 1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。 2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。 3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。 4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。

一、引言(一)攻击资源定义(二)2018年重点关注情况二、全年DDoS攻击资源分析(一)控制端资源分析(二)肉鸡资源分析(三)反射攻击资源分析(四)发起伪造流量的路由器分析三、我国境内攻击资源年度活跃及治理情况分析(一)我国境内攻击资源年度活跃趋势(二)DDoS攻击资源治理情况及典型案例四、下一步DDoS攻击资源治理建议