2018 年 中国网站 安全 形势分析 报告 奇安信 威胁情报中心 2019 年 4 月 摘 要 网站漏洞 检测 分析 2018 年 1-12 月 ， 奇安信 网站安全检测平台共 扫描 检测 网站 149.2 万 个 （年度去重） ， 其中 ， 扫出存在漏洞的网站 110.3 万个 （月度去重） ，占比 为 73.9%，共 扫描出 1230.4 万 次 漏洞 。 扫出存在高危漏洞的网站 23.1 万个 ，占扫 描网站总数的 15.5%，共扫描 出 217.0 万次 高危漏洞 。 从域名类型统计来看， 2018 年 奇安信网站 安全检测平台扫描到的网站所属全球通用 域 名中 域名最多，占比为 67.1%；其次是 （ 22.4%）、 （ 5.2%）；作为本土化域 名， .gov 占比为 2.6%， .edu 占比为 1.5%。 根据 奇安信网站 安全检测平台 扫描 出高危 漏洞的 情况，跨站脚本攻击漏洞（ 92.3 万次）、 SQL 注入漏洞（盲注）（ 20.9 万次）、 SQL 注入漏洞（ 14.1 万次）。 网站漏洞攻击分析 2018 年全年 ， 奇安信网站 卫士共 为 76.1 万个 网站 （全年去重） 拦截各类网站漏洞攻击 34.9 亿次， 平均每天拦截 漏洞攻击 956.2 万次。 2018 年全年遭到漏洞攻击的网站共计 70.3 万个（全年去重）。 平均每月 约 有 5.8 万 个 网站 遭遇各类漏洞攻击 。 奇安信网站 卫士拦截漏洞攻击次数最多的 10 个漏洞类型共 遭到攻击 2.9 亿 次 ，占到漏 洞攻击拦截总量的 98.4%。 人工挖掘漏洞分析 2018 年全年，补天平台 SRC 共收录各类网站安全漏洞报告 21238 个，共涉及 11227 个 网站。其中 ， 10 月份 收录的网站漏洞数量最多 ， 为 5090 个 。 从补天平台收录网站 漏洞的 性质 来 看，通用型漏洞比例很低，仅为 1.6%， 98.4%的网站 漏洞都为事件型漏洞。 从补天平台收录网站漏洞的具体类型来看， SQL 注入漏洞最多，占比为 29.4%，其次是 弱口令和信息泄露，占比分别为 16.7%和 13.4%。占比较高的还有命令执行（ 9.4%）、 逻辑（ 9.1%）。 补天平台收录的网站漏洞中， 政府机构及 事业单位 网站的漏洞数量是最多的， 占比为 19.0%；其次，教育培训网站漏洞为 18.3%， 互联网行业为 11.5%。 网络 扫描 2018 年全年 ， 奇安信威胁情报中心 在全球范围内共监测发现扫描源 IP 1400 万个，累积 2 监测到扫描事件 3.93 亿次。全球平均每日活跃的扫描源 IP 大约有 13.3 万个，对应的日 均扫描事件约 107.6 万起。 从具体的端口号来看，被扫描次数最多的端口 仍 是 23 端口和 2323 端口，约 47.3%的网 络扫描事件会扫描 23 端口，约 28.1%的网络扫描事件会扫描 2323 端口。 从扫描事件的数量来看 ， 65.4%的网络扫描事件 是 从中国大陆发起的， 7.8%是 从 俄罗斯 发起的，而 日本、美国和巴西 位列其后，占比分别为 4.4%、 3.5%和 3.0%。 而从 扫描器的数量 来 看， 47.0%的扫描源 IP 位于中国 大陆境内 ； 12.1%的扫描源 IP 位于 巴西； 委内瑞拉、俄罗斯和墨西哥 分列三到五位，比例分别为 4.9%、 3.8%和 3.0%。 网站 DDoS攻击 情况 2018 年 1 月 1 日至 2018 年 12 月 31 日， 奇安信威胁情报中心 监测 到 626.2 万个 IP 在过 去一年曾遭到过 1064.3 万次 DDoS 攻击 ，平均 每天 监测 到 DDoS 攻击 2.9 万 次。 针对 DDoS 攻击的端口中， 80 端口是 DDoS 攻击最常用 的端口， 占比为 39.6%，其次为 23 端口（ 31.3%）、 443 端口（ 9.6%） . 2018 年， 奇安信威胁情报中心 监测 显示， DDoS 攻击 的 网站 域名中 ， 60.4%为 域名 ， 其占据了 半壁江山。 其次是 和 域名， 占比 分别为 15.0%和 14.0%。 2018 年， 奇安信威胁情报中心 监测 显示， DDoS 攻击 类型 中 ， amp_flood 类型 最多，占 比为 57.3%，其次为 syn_flood 和 plain_flood， 占比 分别 为 12.8%和 11.2%。 从攻击时长来看，超过 五 成的 DDoS 攻击持续时间小于 10 分钟，而持续时间在 10 分钟 至 30 分钟的攻击占比约为 16.5%， 30 分钟至 1 小时的攻击占比约为 5.3%，持续时间超 过 1 小时的攻击占 13.4%。总体而言，短时、小量的攻击仍然是 DDoS 攻击的主流。 DDoS 攻击主要由受控的僵尸网络发动。统计显示， gafgyt 家族 是最为活跃的 DDoS 僵 尸网络家族， 占比为 39.8%； xor 家族紧追其后占比为 20.3%；而 mirai 家族占比为 16.8% 位居第三。 80 端口仍是大多数僵尸网络攻击的主要目标，占比 为 62.8%，其次是 53 端口为 7.5%， 3074 端口 为 6.7%。 在 2018年的 DDoS僵尸网络攻击中， syn_flood攻击次数达到 15.1万次，其次是 udp_flood 14.9 万次、 STD 为 8.5 万次等。 白帽子与安全人才 截至 2018 年 12 月，补天平台共注册有 48882 名白帽子。其中， 2018 年全年 ， 共有 4399 名白帽子向补天平台提交有效漏洞 （包含专属 SRC） 2.67 万 个，总计获得奖金 209.1 万 元。 从获得奖金来看， 2018年获补天平台 （日常 +众测） 奖金最多的三位白帽子分别是 jkgh006、 带头老哥和 depy。 2018 年全年 ，向 补天平台提交 漏洞 的白帽子中，女性 白帽子 占比 仅 为 6.1%，男性 白帽 子 占比为 93.9%。 在 2018 年上半年向补天平台提交漏洞的白帽子中，年龄最小的 10 岁，年龄最大的 48 岁。 其中， 18 岁 -28 岁之间的白帽子数量最多。 从年龄段来看， 与 2017 年的趋势 相比 ， 虽然 年轻的“ 90 后”目前仍然是白帽子的绝对 主力， 但 00 后已经迅速崛起，紧随其后。仍然还有一部分 “ 80 后” 作为中坚力量，奋 斗在第一线 。 关键词： 网站 安全 、 漏洞、扫描、 DDoS、 补天、 白帽子 4 目 录 第一章 网站漏洞检测分析 . 1 一、 网站漏洞数量概况 . 1 二、 漏洞危险等级情况 . 2 三、 网站漏洞域名分析 . 4 四、 网站漏洞类型分析 . 4 第二章 网站漏洞攻击分析 . 6 一、 漏洞攻击数量统计 . 6 二、 漏洞攻击类型分析 . 7 三、 漏洞攻击地域分析 . 8 四、 漏洞攻击时域分析 . 10 第三章 人工挖掘漏洞分析 . 12 一、 漏洞报告数量 . 12 二、 漏洞类型分析 . 12 三、 有漏洞网站地域分布 . 14 四、 不同行业网站漏洞情况 . 15 第四章 网络扫描 . 17 一、 全网扫描活动监测概况 . 17 二、 扫描活动扫描的主要端口 . 17 三、 扫描源 IP 地域分布 . 18 第五章 网站 DDOS 攻击情况 . 20 一、 DDOS 攻击情况 . 20 二、 DDOS 僵尸网络 . 22 第六章 白帽子与安全人才 . 25 一、 白帽子获奖情况 . 25 二、 白帽子性别分布 . 25 三、 白帽子年龄分析 . 26 四、 白帽子所在地域分析 . 26 附录 1 补天平台介绍 . 28 附录 2 奇安信网站安全云防护系统介绍 . 30 1 第一章 网站 漏洞 检测 分析 网站漏洞的整体形势可以从两个角度 分析 ：一是 按 网站安全检测的自动扫描结果统计， 二是 按 网站被 白帽子 报告漏洞 的 情况统计。本章将从自动扫描角度，以 奇安信网站 安全检测 与防护相关产品的统计结果为依据，分析 2018年 1-12月 中国网站的安全漏洞情况。 一、 网站 漏洞数量 概况 2018年 1-12月 ， 奇安信网站 安全检测平台共 扫描 检测 网站 149.2万 个 （ 年度 去重） ，其 中 ， 扫出存在漏洞的网站 110.3 万个 （ 月度 去重） ，占比 为 73.9%，共 扫描出 1230.4 万 次 漏 洞 。 从 高危漏洞 的 检测情况来看 ， 扫出存在高危漏洞的网站 23.1万个 （相比 2017年 的 34.5 万 个 网站 漏洞， 下降了 33%） ，占扫 描网站总数的 15.5%， 共 扫描 出 217.0万次 高危漏洞 。 高危 漏洞 更 容易被病毒、木马、黑客等侵入，导致软件崩溃或者盗取重要信息、密码等 ， 其危害 性更大， 影响 更 深远 。 下图 给出 了 2014年 至 2018年网站存在漏洞 的 情况 对比。 2 二、 漏洞 危险等级 情况 2018年， 奇安信网站 安全检测平台 共 扫描出 1230.4万 次 漏洞 。其中， 扫出高危漏洞次 数占比 为 17.6 %， 扫出 中危漏洞 次数 占比为 4.6%， 扫出 低危漏洞 次数 占比为 77.8%。 具体 如 下图所示。 3 下图给出了 2014年 -2018年网站漏洞危险等级分布对比。 下图给出了 奇安信网站 安全检测平台每月扫描出存在高危漏洞的网站个数（当月去重）。 在全年各月 中， 7月扫出的有高危漏洞的网站数量最多，为 6.0万 个 。 2018年 第三季度 检出 含有高危漏洞网站数量 较多于其他季度 。 奇安信网站 安全检测平台全年共扫描发现网站高危 漏 洞 217.0万次 ， 平均每天扫出高危 漏洞约 5944次。下图给出了 2018年每月扫描出网站高危漏洞的次数。整体基本保持 平稳， 其中 7月份是扫出高危漏洞最多的月份，数量达到 23.8万次。 4 三、 网站漏洞域名分析 从域名类型统计来看， 2018 年 奇安信网站 安全检测平台扫描到的网站所属 全球通用 域 名中 域名最多，占比为 67.1%；其次是 （ 22.4%）、 （ 5.2%）；作为本土化域名， .gov 占比为 2.6%， .edu占比为 1.5%。 从扫出的含有高危漏洞的网站域名来看， 奇安信网站 安全检测平台共扫描到含有高危 漏洞的网站 23.1万个，其中， 域名最多 ，占 81.9%；其次为 （ 11.1%）、 （ 3.5%）； 作为本土化域名， .gov占比为（ 1.3%）、 .edu占比为（ 0.8%） 具 体分布情况如下图所示 。 四、 网站 漏洞类型分析 根据 奇安信网站 安全检测平台 扫描 出 高危 漏洞的 情况，跨站脚本攻击漏洞 的 扫 出 次数 和 涉及 网站数 都是 最多 的 ，稳居排行榜榜首。 其次 是 SQL 注入漏洞 （盲注） 、 SQL 注入漏 5 洞、 phpweb成品站伪静态注入 等 漏洞 类型 。 下表 给出 了 2018年 1-12月 份高危漏洞 TOP10。 漏洞名称 扫出次数 (万 ) 涉及 网站数（万） 跨站脚本攻击漏洞 92.3 6.4 SQL 注入漏洞（盲注） 20.9 2.0 SQL 注入漏洞 14.1 1.3 phpweb 成品站伪静态注入 9.4 8.9 跨站脚本攻击漏洞 (路径 ) 4.7 1.8 PHPWEB myord 参数 sql injection 漏洞 3.7 3.6 发现 SVN 版本控制信息文件 2.7 0.4 PHP 错误信息泄露 2.3 0.5 MS15-034 HTTP.sys 远程代码执行 2.3 1.4 DedeCMS sql 注入添加用户漏洞 1.3 0.9 表 1 2018 年 1-12 月份 扫描出的 高危漏洞 TOP10 6 第二章 网站漏洞攻击分析 黑客对网站发动攻击一般有两种方式，一种方式是利用漏洞入侵网站 ， 另一种方式是对 网站发动流量攻击。本章将主要 针对第一种方式 ， 介绍分析 奇安信网站 卫士针对各种漏洞攻 击的拦截情况。 一、 漏洞攻击数量统计 2018年 全年 ， 奇安信网站 卫士共 为 76.1万个 网站 （ 月度 去重） 拦截各类网站漏洞攻击 34.9亿次， 平均每天拦截 漏洞攻击 956.2万次。 下半年拦截漏洞攻击次数增多，其中， 8月、 9月是 2018年攻击量最大的两个月， 8月 达到 最高 5.9亿 次。 网站 每月 遭遇 漏洞攻击 情况如 下 图 所示。 2018年 全年遭到漏洞攻击的网站共计 76.1万个（ 月度 去重） 。 平均每月 约 有 6.3万 个 网 站 遭遇各类漏洞攻击 ，其中 6月遭遇漏洞攻击的网站个数最多，达 16.9万个 。 7 二、 漏洞攻击类型分析 下表给出了 奇安信网站 卫士拦截漏洞攻击次数最多的 10个漏洞类型。 这十个类型共 遭 到攻击 2.9亿 次 ， 占到漏洞攻击拦截总量的 98.4%。 具体如 下表所示 。 TOP10 漏洞攻击类型 拦截次数 占比 1 SQL注入 41.1% 2 webshell 27.6% 3 通用漏洞 13.7% 4 XSS 6.6% 5 扫描器 2.9% 6 nginx攻击 1.8% 7 本地文件包含 1.6% 8 代码注入 1.5% 9 文件备份探测 1.1% 10 命令注入 0.6% 表 2 2018 年 漏洞攻击拦截量 Top10 类型 及其拦截次数 占比 奇安信威胁情报中心 监测 显示， 41.1%的网站漏洞攻击类型都为 “ SQL 注入”，稳坐第 一 。其次 为“ Webshell”和“通用漏洞”， 占比分别为 27.6%和 13.7%。 下图给出了 网站 漏洞 攻击类型 的 具体 分布情况。 8 三、 漏 洞攻击地域分析 （一） 遭到漏 洞攻击地域分析 从 遭到 漏洞攻击 网站 服务器 IP的地域分布 来看， 94.5%受害 者 IP来自境内地区 IP，境 外的受害者 仅为 5.5%。 从境内受害者的 IP地域分布来看， 25.1%来自北京，居于首位；其次分别为浙江（ 16.3%）、 上海 （ 15.2%）、河南（ 8.2%）、 广东 （ 7.8%）等 。 9 下图给出了 2017年遭到漏洞攻击的十大省份，其中， 位于 北京 的 IP遭到的攻击最 多，占全国攻击总量的 25.1%，居于全国首位；其次是浙江（ 16.3%）、广东（ 15.2%）。具 体 如 下图 所示 。 （二） 发起漏洞攻击地域分 析 从境内攻击者的 IP地域分布来看， 21.5%来自北京，居于首位；其次分别为江苏（ 16.5%）、 河南（ 12.3%）、广东（ 9.3 %）、湖南（ 6.2%）、浙江（ 6.2%）等。 从境外攻击者的 IP地域分布来看， 34.1%来自法国。其次是美国（ 28.9%）、乌克兰（ 2.3%） 等。 10 四、 漏洞攻击时域分析 下图给出了漏洞攻击在一周之内的分布统计。其中，每天的比例数字表示这一天的攻击 量在一周总攻击量中的平均占比情况。从图中可以看出，星期四是一周中漏洞攻击最为集中 的一天，占总攻击量的 18.7%，周五 仅居其次， 为 18.2%， 而周 三 的攻击量则相对最少，仅 占总攻击量的 10.5%。就平均性而言，周一周二 周 三 较安全，而周四、 周 五 最危险。 下图给出了一天之内漏洞攻击的分布统计。其中，每个小时的比例数字表示这一小时内 的攻击量在当天总攻击量中的平均占比情况。从图中可以看出，一天的攻击分布基本 平稳 ， 漏洞攻击多集中于 凌晨至上午七点 。 11 12 第三章 人工挖掘漏洞分析 本章从人工挖掘 角度，对 网站漏洞情况进行分析 。 主要根据补天平台公开 征集 收录白帽 子提交的漏洞信息，结合平台自身对漏洞的研究积累， 从而分析 2018年全年 ， 存在漏洞且 被白帽子关注的全国数万个网站的安全状况。 一、 漏洞 报告 数量 2018 年全年 ，补天平台 SRC 共收录网站安全漏洞 报告 21238 个，共涉及 11227 个网 站 。 第四季度收录漏洞数量增多， 其中 ， 10月份 收录的网站漏洞数量最多 ， 为 5090个 。 具 体 如下图所示。 二、 漏洞 类型分析 从补天平台收录网站 漏洞的 性质 来 看，通用型漏洞比例很低，仅为 1.6%， 98.4%的网 站漏洞都为事件型漏洞。 鉴于多数通用型漏洞属于可以检测的已知漏洞，而事件型漏洞则存在一定的偶发性和 不可预测性。但从另一个角度来看，网站存在大量的事件型漏洞，这也就意味着：仅仅通 过一般的、通用的安全检测手段并不足以及时的发现网站潜在的安全问题。第三方平台对 网站漏洞的收集和报告，对于正规的网站来说尤为重要。 13 从补天平台收录 网站 漏洞 的 危害等级来看， 高危 漏洞占比为 29.7%，中危漏洞占比为 40.8%，低危漏洞占比为 29.5%。 下图给出 了 补天 平台 收录 的网站漏洞 的 危险等级情况。 从补天平台收录网站漏洞的具体类型来看， SQL注入漏洞最多，占比为 29.4%，其次 是 弱口令 和信息泄露，占比分别为 16.7%和 13.4%。占比较高的还有 命令执行 （ 9.4%）、 逻 辑 （ 9.1%），具体漏洞类型分布请见下图。 14 三、 有 漏洞网站地域 分布 本报告中 地域 划分 主要 根据 IP 地址 查询其网站服务器归属地，可能与实际主管机构 的 行政归属 地 存在一定的差异。 从省级 地域分布来看， 补天平台收录 网站漏洞最多的 十个 省份占到了总量的 74.4%。 其 中， IP地址 在北京的网站漏洞最多，占比为 25.2%，其次 广东省 为 11.0%， 上海 为 7.5%。 具 体 如下图所示 。 从 城市 对比 来看， 补天平台收录网站漏洞最多的十个城市占总量的 55.3%。其中， IP地 址在北京市的网站漏洞最多，高达 23.6%，其次上海市为 7.4%， 广州 市 为 5.2%。 具体如下 图所示。 15 四、 不同 行业网站漏洞情况 在 所有网站中，我们在能够明确的确认其所属行业的网站中选择了 政府机构 及事业 单 位、教育培训、互联网 、 IT信息 技术、 生活服务、 金融 、 制造业、 医疗卫生、 通信 运营 商 、 交通 运输 十个行业网站进行了 分类， 重点研究 这 十个行业网站的安全状况。 补天平台收录的网站漏洞中， 政府机构及 事业单位 网站的漏洞数量是最多的， 占比为 19.0%；其次，教育培训网站漏洞为 18.3%， 互联网行业为 11.5%。 每个 行业 的 网站 漏洞分 布 情况，具体如下图所示。 被 报告漏洞涉及的不同行业网站中， 通信运营商行业网站 注册率最高为 84.0%，其 次， 金融 注册率 为 77.3%， 互联网 行业网站注册率 为 61.9%。 16 从 高危漏洞网站来看， 金融 网站高危 漏洞占比最多， 为 50.6%， 其次 是 政府机构、事业 单位 网站 高危漏洞为 40.3%。 具体如下表所示 。 行业 高危 中危 低危 政府机构、事业单位 40.3% 36.6% 23.0% 教育培训 21.5% 46.0% 32.5% 互联网 17.0% 46.8% 36.2% IT 信息技术 33.8% 39.4% 26.8% 生活服务 31.8% 43.3% 24.8% 金融 50.6% 21.5% 27.9% 制造业 24.4% 39.1% 36.5% 医疗卫生 25.3% 49.0% 25.7% 电信运营商 27.0% 34.6% 38.4% 交通运输 32.8% 40.2% 27.0% 表 3 不同 行业的 网站 漏洞 等级 情况 部分行业的 网站漏洞类型分布 如下表所示 。 可以看出， “ SQL注入” “弱口令” 和“ 信息 泄露 ” 漏洞 类型无论 是 从总体角度 还是 从 各 行业网站漏洞 类型 均名列前茅 。 行业 SQL注入 命令执行 信息泄露 政府机构、事业单位 31.3% 19.2% 11.0% 教育培训 33.5% 20.9% 13.0% 互联网 29.3% 9.1% 16.9% IT 信息技术 31.8% 10.4% 13.6% 生活服务 31.3% 13.5% 12.2% 金融 8.9% 13.8% 14.0% 制造业 25.5% 25.1% 14.0% 医疗卫生 32.9% 19.8% 12.8% 电信运营商 12.9% 25.7% 25.1% 交通运输 22.8% 19.9% 10.7% 表 4 不同行业 的漏洞类型分布 17 第四章 网络 扫描 扫描行为通常处于情报搜集阶段，使用自动化程序对未知主机进行批量检测，根据主机 返回的信息判断其运行状态。通常用于判断主机运行的服务类型、服务程序及版本，是否存 在漏洞等信息，进而有针对性执行攻击手段。 一、 全网扫描活动监测概况 扫描事件是指在一定时间内，具有相同或相似特征的扫描行为的集合。 2018 年全年 ， 奇安信威胁情报中心 在全球范围内共监测发现扫描源 IP 1400 万个，累积监测到扫描事件 3.93 亿次。全球平均每日活跃的扫描源 IP 大约有 13.3 万个，对应的日均扫描事件约 107.6 万起。 扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够发现扫描目标存在的漏 洞并 将扫描结果提供给使用者 。 其 工作原理是扫描器向目标计算机发送数据包，然后根据对 方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。 在互联网上， 活跃的扫描器背后往往是活跃的黑客组织和潜在 的 危险 。 对全网扫描器 及其 扫描活动 的监 测、发现与防范，是网络系统安全运维所需的 ， 重要 的 威胁情报信息。 二、 扫 描活动 扫描 的主要端口 通过对 2018年全年 网络扫描器扫描的端口分析发现，扫描器扫描的端口主要为具备远 程控制能力的端口和存在信息泄露的端口。从具体的端口号来看，被扫描次数最多的端口 仍 是 23 端口和 2323 端口，约 47.3%的网络扫描事件会扫描 23 端口，约 28.1%的网络扫描事 件会扫描 2323端口。 2017年起，一个由多个子僵尸网络构成的多重僵尸网络“ MyKings” 被发现并披露。该 僵尸网络一直积极的扫描互联网上 1433及其他多个端口，并在渗透进入受害者主机后传播 包括 DDoS、 Proxy、 RAT、 Miner在内的多重不同用途的恶意代码。我们将其命名为 MyKings， 原因之一来自该僵尸网络的一个主控域名 *.mykings.pw。该 僵尸网络扫描的端口主要包括： 1433端口、 3306端口、 135端口、 22端口、 445端口、 23端口、 80端口及 3389端口等。 在 2018.1.172018.1.21这段时间，针对 1433 端口的扫描流 量有一个明显的波谷，我们 怀疑这与该团伙的基础设施变动有直接关系 。 2018年， 永恒之蓝勒索蠕虫（ WannaCry病毒） 等一系列勒索病毒仍然在全球肆虐。其 特征之一就是会扫描 445 端口，所以，每一台感染 WannaCry 病毒电脑也会成为一个针对 445端口的扫描器。而该病毒在 2017年的 爆发 ，使得针对 445端口的扫描活动也异常活跃， 以至于针对 445端口的扫描器数量在 2017年排名进入了前十名。 2018年， 445端口 仍保持 扫描器扫描端口最多的前十个端口之一 。 下表给出了 2018年网络扫描事件扫描最多的十个网络端口及其对应的常用服务、 扫描 事件覆盖率 。需要特别说明的是，扫描事件与漏洞、端口并非是一一对应的。一次网络扫描 事件可能会只针对一个网络端口或只针对一个安全漏洞，但也有可能会同时针对多个网 络端 口或多个安全漏洞。所以，在下表中，仅排名前十的网络端口号对应的扫描事件覆盖率之和 18 就已经大于了 100%。 端口 常用服务 扫描事件 覆盖率 23 telnet远程登录 47.3% 2323 telnet远程登录 28.1% 1433 MicrosoftSQLServer服务端口 15.6% 5555 SoftEtherVPN服务端口 12.7% 445 SMB服务端口 8.6% 22 SSH服务端口 2.4% 80 HTTP服务端口 1.8% 3389 RDP服务端口 1.3% 6379 Redis服务端口 0.9% 3306 MySQLServer服务端口 0.4% 表 5 2018 年扫描器扫描 最多的 十个端口 三、 扫描源 IP 地域分布 统计 显示，在 奇安信威胁情报中心 监测到 的 所有 网络扫描活动中 ， 从扫描事件的数量 来看 ， 65.4%的网络扫描事件 是 从中国大陆发起的， 7.8%是 从 俄罗斯 发起的，而 日本、美 国和巴西 位列其后，占比分别为 4.4%、 3.5%和 3.0%。 而从 扫描器的数量 来 看， 47.0%的扫 描源 IP 位于中国 大陆境内 ； 12.1%的扫描源 IP 位于 巴西； 委内瑞拉、俄罗斯和墨西哥 分列 三到五位，比例分别为 4.9%、 3.8%和 3.0%。 相比 2017 年 ， 越来越多 的扫描源 IP 集中 在 中国 大陆 （这主要是由于我们能够看到的数据来源主要来源于中国大陆） ，同时 中国 大陆 发起的网络扫描 事件数量 也 在 增长。 对 IP 地址属于中国的网络扫描源 进行 进一步 的 地域分析发现， 位于 上海 的 扫描器 数量 最多，扫描源 IP 占全国总量的 3.7%；其次 是 泉州 ， 占比为 3.5%，排在 三到 五位的城市 分别 是 台州 、 香港 和 金华 ，占比分别为 2.9%、 2.9%和 2.5%。 19 而 如果从发起扫描事件的数量来看，在国内， IP 属于北京 的扫描 器 发起的扫描事件最 多，占 境内扫描器 发起 的 所有扫描事件的 6.6%，其次 是 杭州 ，占 6.0%， 排 在三到 五位的城 市 分别是 泰州、天津和上海 ，占比 分别为 4.7%、 4.5%和 3.8%。 20 第五章 网站 DDoS攻击 情况 DDoS 攻击仍然是全球最大的互联网安全威胁之一， 根据 DDosMon 网站 （ 数据 显示 ， 在过去一段时间内每天检测到大约 2 万次 攻击。本章包含由 DDoS 和僵尸网络追踪系统检测到的各种 DDoS 攻击的观察结果和见解。 它代表了网络攻击趋势的独特视角，包括针对最新 DDoS 攻击统计数据和行为趋势。 一、 DDoS 攻击情况 2018 年 1 月 1 日至 2018 年 12 月 31 日， 奇安信威胁情报中心 监测 到 626.2 万个 IP 在 过 去一年曾遭到过 1064.3 万 次 DDoS 攻击 ，平均 每天 监测 到 DDoS 攻击 2.9 万 次。 2018 年， 奇安信威胁情报中心 监测 显示， 针对 DDoS 攻击 的 端口 中 ， 80 端口是 DDoS 攻击 最 常用 的端口， 占 比为 39.6%， 其次为 23 端口（ 31.3%）、 443 端口（ 9.6%），具体 分 布 情况如下图所示。 下表 是对上图中 DDoS 攻击 常用 端口 的 简单 介绍。 端口 常用服务 80 HTTP服务端口 23 telnet远程登录端口 443 HTTPS服务端口 53 DNS服务端口 3074 xboxgame服务端口 表 6 2018 年 DDoS 常用 端口介绍 2018 年， 奇安信威胁情报中心 监测 显示， DDoS 攻击 的 网站 域名中 ， 60.4%为 域名 ， 其占据了 半壁江山。 其次是 和 域名， 占比 分别为 15.0%和 14.0%。 具体分布情况如下 图所示。 21 2018 年， 奇安信威胁情报中心 监测 显示， DDoS 攻击 类型 中 ， amp_flood 类型 最多，占 比为 57.3%，其次为 syn_flood 和 plain_flood， 占比 分别 为 12.8%和 11.2%。具体 分布情况 如 下图所示 。 从攻击时长来看，超过 五 成的 DDoS 攻击持续时间小于 10 分钟，而持续时间在 10 分钟 至 30 分钟的攻击占比约为 16.5%， 30 分钟至 1 小时的攻击占比约为 5.3%，持续时间超过 1 小时的攻击占 13.4%。总体而言，短时、小量的攻击仍然是 DDoS 攻击的主流。下图给出了 DDoS 的攻击持续时间分布 。 22 二、 DDoS 僵尸网络 僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染 bot 程序 （ 僵尸程序 ） 病毒，从而在控制者和被感染 主机 之间所形成的一个可一对多控制的网络。攻击者通过各种 途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击 者的指令，组成一个僵尸网络。之所以用僵尸网络这个名 字，是为了更形象地让人们认识到 这类危害的特点 ： 众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和 指 挥着，成为被人利用的一种工具。 DDoS 攻击主要由受控的僵尸网络发动。统计显示， gafgyt 家族 是最为活跃的 DDoS 僵 尸网络家族， 占比 为 39.8%； xor 家族紧追其 后 占比为 20.3%； 而 mirai 家族占比 为 16.8%位 居第三。下面给出了 2018 年流行的 僵尸网络 的 家族分布 。 gafgyt又名 Qbot，是 mirai出现之前比较流行的一种 IoT botnet家族，于 2014年 8月 第一次被发现， 2014 年末 LizardSquard（黑客组织）利用该样本发起一起 DDoS引起安全 界的小范围关注。 gafgyt使用了一种类似 IRC的 C&C协议，支持 HTTP/TCP等应用层攻 23 击。 2015年 1月 Gafgyt的源代码被公开，导致变种越来越多，每种变种支持的攻击方式都 有差异，对跟踪和防御造成了障碍。同时， gafgyt的传播方式也比较多，除了 telnet 23端 口，还被发现在一些 UDP 端口上传播。 xor.ddos家族是在 2014年左右出现的一款 DDoS botnet家族，支持 TCP SYN FLOOD、 DNS FLOOD等常见攻击，因为 C&C通信和样本配置信息使用了异或（ XOR） 加密而得名。跟 mirai和 gafgyt这种面向 IoT的 botnet不同的是， XOR.DDOS主要面向 x86架构的设备，被感染的系统多为 linux 服务器。根据我们掌握的信息， XOR.DDOS主 要由中国黑产从业者运行，当前网络上相当比例的 tcp syn flood由这个家族的 botnet发 起。 Mirai是 2016年最为活跃也最为臭名昭著的僵尸网络， 2017年仍在继续活跃。 mirai 是一种主要感染 IoT（物联网）设备（比如智能摄像头等）的 恶意程序，而由被 mirai恶意 程序感染并控制的设备组成的网路，就是 mirai僵尸网络。自 2016年 8月 1号被首次发现 以来， mirai僵尸网络不断通过针对 IoT设备的扫描活动来扩充自己僵尸军团的规模。截止 2017年 2月 4日，可以确信已经被 mirai僵尸网络控制的各类 IoT设备总数至少已有 194.8 万台，形成了规模庞大的僵尸网络。 Elknot是由中国人开发的 ddos botnet家族，出现时间在 2014年初。它们在源代码上 有继承关系， elknot系 mayday的升级版，增加了攻击功能，同时在主机模块隐藏方面也做 了改进。而 elknot本身也存在多个版本，早期版本因为将 C&C控制（ Gates）和 DDoS攻 击（ Bill）这两个功能模块分开，故又被国外研究人员称恒为 BillGates。从攻击方式看，他 们均支持 TCP SYN FLOOD/DNS FLOOD，而 elknot还支持随机散列前缀 DNS攻击 （ PRSD DNS, Pesudo-random subdomain）。 僵尸网络攻击的端口也很受大家的关注。 80 端口仍是大多数僵尸网络攻击的主要目标， 占比 为 62.8%，其次是 53 端口 为 7.5%， 3074 端口 为 6.7%。 具体 分布如 下图 所示。 下图给出了 2018 年十大僵尸网络攻击 类型 对比。从 中可以看出，在 2018 年的 DDoS 僵 尸网络 攻击中， syn_flood 攻击次数达到 15.1 万 次，其次是 udp_flood 14.9 万 次、 STD 为 8.5 万 次等。 24 从 DDoS 僵尸网络 攻击国家 的地域 分布来看， 2018 年 ， DDoS 僵尸网络攻击 的 国家 中 ， 中国 是重灾区 （ 65.4%） 。 俄罗斯 排名 第二（ 7.8%） ，其次 为 日本 和 美国 ，分别 占 4.4%和 3.5%。 具体 分布 情况 如下图。 25 第六章 白帽子与 安全人才 本章 主要针对 2018年全年 在补天平台提交过漏洞的白帽子 的 获奖情况进行分析 。 并对 白帽子的 性别 和年龄 数据 进行抽样调查 ， 统计分析 。 一、 白帽子获奖情况 截至 2018年 12月，补天平台共注册有 48882名白帽子。其中， 2018年全年 ， 共有 4399名白帽子向补天平台提交 各类 有效漏洞 （包含专属 SRC） 2.67万 个，总计获得奖金 209.1万元。 从获得奖金来看， 2018年获补天平台 （日常 +众测） 奖金最多的三位白帽子分别是 jkgh006、带头老哥和 depy。 从 挖洞个数 来看，挖洞最多的 是 jkgh006，共贡献 470个漏洞，大约每天挖洞 1个。 其次是带头老哥和 depy。 获奖金最多的白帽子 Top10排名，以及挖洞情况具体见下表。 名次 获奖金额（万元） 网名 挖漏洞个数 冠军 51.095 jkgh006 470 亚军 45.67 带头老哥 303 季军 35.429 depy 271 第 4名 25.985 少司命 190 第 5名 19.75 格雷格 153 第 6名 17.88 憋屈 133 第 7名 16.53 咕咕急 163 第 8名 13.085 西沟里 110 第 9名 12.675 jimmywhite 207 第 10名 8.885 365butian 159 表 7 2018 年补天平台获奖金最多白帽子 Top10 二、 白帽子性别分布 黑客的世界，一向被认为是男人的世界，而白帽子当中的女生更是凤毛麟角。 2018年 全年 ，向 补天平台提交 漏洞 的白帽子中，女性 白帽子 占比 仅 为 6.1%， 男性 白帽子 占比为 93.9%。 相比 2017年 5.8%的 女性 白帽子在 补天平台提交 漏洞 ， 女星白帽子所占比例在回升 趋势， 但 女性 白帽子依然是稀缺资源。 26 三、 白帽子年龄 分析 根据白帽子的注册信息统计， 在 2018年上半年向补天平台提交漏洞的白帽子中，年龄 最小的 10岁，年龄最大的 48岁。 其中， 18岁 -28岁之间的白帽子数量最多，其次是 10岁 -18岁之间 。下图给出了向补天平台提交漏洞白帽子的年龄分布。 而从年龄段来看， 与 2017年的趋势 相比 ， 虽然 年轻的“ 90后”目前仍然是白帽子的 绝对主力， 但 00后已经迅速崛起，紧随其后。仍然还有一部分 “ 80后” 作为中坚力量， 奋斗在第一线 。 四、 白帽子所在地域分析 2018年，我们对提交过漏洞的白帽子进行抽样分析 ， 从地域分布来看，位于北京的白 帽子最多，约占 28.6%，其次为广东省，占 11.1%。具体分布情况如下图。 27 28 附录 1 补天平台介绍 补天漏洞响应平台，成立于 2013年 3月，是国内专注于漏洞响应的第三方平台。 2014