本月重点关注情况
1、本月利用肉鸡发起DDoS攻击的控制端中，境外控制端近一半位于美国；境内控制端最多位于北京市，其次是浙江省、河南省和贵州省，按归属运营商统计，电信占的比例最大。
2、本月参与攻击较多的肉鸡地址主要位于北京市、贵州省、四川省和云南省，其中大量肉鸡地址归属于电信运营商。2018年以来监测到的持续活跃的肉鸡资源中，位于山东省、上海市、广东省占的比例最大。
3、本月被利用发起Memcached反射攻击境内反射服务器数量按省份统计排名前三名的省份是山东省、广东省和北京市，数量最多的归属运营商是电信。被利用发起NTP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是广东省、山东省和甘肃省；数量最多的归属运营商是移动。被利用发起SSDP反射攻击的境内反射服务器数量按省份统计排名前三名的省份是辽宁省、江苏省和河南省；数量最多的归属运营商是联通。
4、本月转发伪造跨域攻击流量的路由器中，归属于新疆维吾尔自治区移动的某路由器参与的攻击事件数量最多；北京市、江苏省和山东省的跨域伪造来源路由器数量最多。
5、本月转发伪造本地攻击流量的路由器中，归属于山西省电信的某路由器参与的攻击事件数量最多；江苏省、山西省、陕西省和广东省的本地伪造流量来源路由器数量最多。
6、经过半年来针对我国境内的攻击资源的专项治理工作，境内控制端、肉鸡等资源的月活跃数量较2017年有了较明显的下降趋势；境内控制端、跨域伪造流量来源路由器、本地伪造流量来源路由器等资源近三个月每月的新增率、消亡率相比2017年月度平均数值有一定程度的上升，意味着资源变化速度加快，可被利用的资源稳定性降低；境内反射服务器资源每月的新增率、消亡率相比2017年月度平均数值，新增率变化不明显、消亡率呈现一定程度的下降，意味着可利用的资源数量逐步减少。
攻击资源定义
本报告为2018年6月份的DDoS攻击资源月度分析及半年治理情况分析报告。围绕互联网环境威胁治理问题，基于CNCERT监测的DDoS攻击事件数据进行抽样分析，重点对“DDoS攻击是从哪些网络资源上发起的”这个问题进行分析。
主要分析的攻击资源包括：
1、控制端资源，指用来控制大量的僵尸主机节点向攻击目标发起DDoS攻击的木马或僵尸网络控制端。
2、肉鸡资源，指被控制端利用，向攻击目标发起DDoS攻击的僵尸主机节点。
3、反射服务器资源，指能够被黑客利用发起反射攻击的服务器、主机等设施，它们提供的网络服务中，如果存在某些网络服务，不需要进行认证并且具有放大效果，又在互联网上大量部署（如DNS服务器，NTP服务器等），它们就可能成为被利用发起DDoS攻击的网络资源。
4、跨域伪造流量来源路由器，是指转发了大量任意伪造IP攻击流量的路由器。由于我国要求运营商在接入网上进行源地址验证，因此跨域伪造流量的存在，说明该路由器或其下路由器的源地址验证配置可能存在缺陷，且该路由器下的网络中存在发动DDoS攻击的设备。
5、本地伪造流量来源路由器，是指转发了大量伪造本区域IP攻击流量的路由器。说明该路由器下的网络中存在发动DDoS攻击的设备。
在本报告中，一次DDoS攻击事件是指在经验攻击周期内，不同的攻击资源针对固定目标的单个DDoS攻击，攻击周期时长不超过24小时。如果相同的攻击目标被相同的攻击资源所攻击，但间隔为24小时或更多，则该事件被认为是两次攻击。此外，DDoS攻击资源及攻击目标地址均指其IP地址，它们的地理位置由它的IP地址定位得到。
DDoS攻击资源月度分析
1. 控制端资源分析
根据CNCERT抽样监测数据，2018年6月，利用肉鸡发起DDoS攻击的控制端有277个，其中，28个控制端位于我国境内，249个控制端位于境外。
位于境外的控制端按国家或地区分布，美国占的比例最大，占42.6%，其次是法国和中国香港，如图1所示。

图1 本月发起DDoS攻击的境外控制端数量按国家或地区
位于境内的控制端按省份统计，北京市占的比例最大，占28.6%，其次是浙江省、河南省和贵州省；按运营商统计，电信占的比例最大，占53.6%，联通占14.3%，如图2所示。