2. 攻击行为趋利化。网络黑客发动攻击的目的从最开始的技术炫耀转向 获得经济利益，网络攻击的针对性和定向性进一步加强，针对商业竞争 对手的攻击和用于窃取用户帐号、密码等敏感数据的网络攻击逐步增多 ，随着网络行为同社会行为联系的进一步密切，网络攻击的最终目的越 来越多地落在获取具体的经济利益上。
3. 攻击目标直接化。网络黑客针对攻击目标的特点，设计特定的攻击代 码，绕过网络防御体系入侵有价值的目标主机，或者通过僵尸网络对于 目标发起直接的大规模网络攻击，使得针对特定目标的网络攻击具有更 大的威胁和破坏性。
序号
地址
1 219.142.78.113
2 219.142.78.77
3 219.142.78.147
4 221.203.76.45
5 221.203.79.148
6 221.203.76.97
7 219.142.78.108
8 58.215.76.190
9 219.142.78.151
10 218.56.111.254
到400－500M bps，最大的攻击流量达到10G bps
攻击来源
主要来自电信各地IDC的服务器 大量的IDC服务器被黑客控制 IDC服务器的特点
拥有良好的网络资源 长期在线 缺乏维护和安全防护
网络操作维护中心
ChinaNET网络中DDOS攻击特点（2 ）
DDOS攻击的行为分析
网络操作维护中心
各省网出方向DDOS攻击排名
序号
1 2 3 4 5 6 7 8 9 10 11 12
省网 辽宁 浙江 湖北 江苏 重庆 广西 甘肃 湖南 四川 黑龙江 陕西 河南
高级告警 中级告警 初级告警
36
102
108
138
25
76
140
21
25
85
26
52
122
10
22
61
16
20
48
20
8
专业的黑客行为 攻击的目的为敲诈或受竞争对手雇佣
DDOS攻击对网络的影响
占用大量网络带宽，包括国际、互联互通等网络带宽 攻击一旦针对网络设备，后果将非常严重
DDOS攻击对用户的影响
DDOS攻击严重占用了用户的带宽 DDOS攻击造成用户服务器瘫痪，无法在攻击发生时提供服务 DDOS攻击对用户的互联网业务开展造成了很大的影响 用户目前大多没有防范攻击的能力和手段
各省网出方向DDOS攻击排名
序号
13 14 15 16 17 18 19 20 21 22 23 24 25
省网 河北 广东 新疆 青海 安徽 贵州 天津 内蒙古 山东 云南 福建 江西 吉林
高级告警 中级告警 初级告警
18
1
9
18
3
2
1
19
1
15
1
3
6
7
5
2
10
5
6
2
8
11
0
4
7
1
5
3
1
2
1
0
2
地址所属 北京 北京 北京
网通集团 网通集团 网通集团
北京 江苏 北京 网通集团
攻击类型 高级告警 中级告警 初级告警
TCP SYN 137
网络操作维护中心
各省网入方向DDOS攻击排名
序号 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
省网 广西 黑龙江 陕西 江西 吉林 辽宁 宁夏 贵州 云南 河北 甘肃 新疆 内蒙古 山西 青海
高级告警 中级告警 初级告警
12
8
2
11
3
7
13
6
2
9
0
9
6
4
20
8
11
12 山东
5
13
17
13 安徽
Байду номын сангаас18
4
10
14 天津
10
7
9
15 海南
17
5
1
*统计时间：8月1日－8月8日
总计
272 247 226 151 149 140 117 73 53 41 39 35 32 26 23
比率 15.4% 14.2% 13.0% 8.7% 8.6% 8.1% 6.7% 4.2% 3.1% 2.4% 2.2% 2.0% 1.8% 1.5% 1.3%
网络操作维护中心
各省网入方向DDOS攻击排名
序号 省网 高级告警 中级告警 初级告警
1 北京
217
17
38
2 江苏
129
36
82
3 浙江
160
18
48
4 广东
94
18
39
5 重庆
125
6
18
6 上海
107
10
23
7 四川
70
15
32
8 福建
56
5
12
9 湖南
31
4
18
10 湖北
21
10
10
11 河南
网络操作维护中心
ChinaNET网络中DDOS攻击特点（1）
ChinaNET网络中DDOS攻击情况
ChinaNET网络中存在大量的DDOS攻击 大部分攻击为各省网间的攻击 从8月1日到8月8日，系统记录共1218个IP地址受到不同程度、不同
频度的攻击 很多DDOS攻击已经达到较大的规模，很多DDOS攻击的峰值流量达
2
0
1
0
1
0
*统计时间：8月1日－8月8日
总计
28 23 21 19 18 17 16 15 13 6 3 3 1
比率
1.8% 1.5% 1.3% 1.2% 1.2% 1.1% 1.0% 1.0% 0.8% 0.4% 0.2% 0.2% 0.1%
网络操作维护中心
异常流量攻击地址TOP10情况统计
• 本次统计到的4902次异常流量攻击，共分布在1218个目 标IP地址上。所有被攻击地址按攻击次数排名的TOP10 情况如下表（其中最严重的攻击目标为sina）：
7
5
1
3
7
0
1
3
1
3
4
1
2
7
0
0
4
1
0
2
0
1
1
0
0
1
0
0
1
0
0
*统计时间：8月1日－8月8日
总计
22 21 21 18 17 9 8 7 7 7 5 3 1 1 1
比率 1.3% 1.2% 1.2% 1.0% 1.0% 0.5% 0.5% 0.4% 0.4% 0.4% 0.3% 0.2% 0.1% 0.1% 0.1%
24
7
21
27
5
16
25
6
14
19
13
7
13
5
12
总计
246 239 186 163 154 97 76 52 48 45 39 30
比率
15.8% 15.3% 11.9% 10.5% 9.9% 6.2% 4.9% 3.3% 3.1% 2.9% 2.5% 1.9%
*统计时间：8月1日－8月8日
网络操作维护中心
异常流量检测与分析
2011.2
CNCERT/CC总结近年网络攻击特点
1. 攻击组织严密化。网络黑客逐步形成了较为严密的组织，并在组织内 部有明确的分工，从恶意代码的制作，恶意代码的散布到最终敏感信息 的窃取都有专人来负责。不同组织之间既有竞争也有合作，网络攻击按 照计划有组织的进行，致使网络攻击的效率有明显的提高。