IP地址位置分析，助力我国网络安全建设

2019 年 5 月至 2019 年 12 月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合开展了全国范围的互联网网站安全专项整治工作，对未备案或备案信息不准确的网站进行清理，对攻击网站的违法犯罪行为进行严厉打击，对违法 违规网站进行处罚和公开曝光。为支撑做好相关工作，CNCERT 进一步扩大了我国网站监测范围，加强了网页仿冒、网站后门、 网页篡改等网络攻击的监测能力。

网页仿冒方面。2019 年，监测发现约 8.5 万个针对我国境内网站的仿冒页面，页面数量较 2018 年增长了 59.7%。从承载仿冒页面 IP 地址归属情况来看，绝大多数位于境外，主要分布在中国香港和 美国。为有效防范网页仿冒引发的危害，CNCERT 重点针对金融行业、电信行业网上营业厅的仿冒页面进行处置， 全年共协调处臵仿冒页面 2.3 万余个。

网站后门方面。2019 年，CNCERT 进一步提升了网站后门监测能力，监测 到境内外约 4.5 万个 IP 地址对我国境内约 8.5 万个网站植入后 门，我国境内被植入后门的网站数量较 2018 年增长超过 2.59 倍。其中，约有 4 万个境外 IP 地址（占全部 IP 地址总数的 90.9%） 对境内约 8 万个网站植入后门，位于美国的 IP 地址最多，占境 外 IP地址总数的 33.5%，其次是位于英国和中国香港的 IP地址。从控制我国境内网站总数来看，位于中国香港的 IP 地址控制我国境内网站数量最多，有约 2.3 万个，其次是位于菲律宾和美国的 IP 地址，分别控制了我国境内约 2 万个和 1.8 万个网站。此外，随着我国 IPv6 规模部署工作加速推进，支持 IPv6 的网站范围不断扩大。2019 年，根据 CNCERT 监测数据 显示，攻击源、攻击目标为 IPv6 地址的网站后门事件有 2,262 起，共涉及攻击源 IPv6 地址 131 个、被攻击的 IPv6 地址解析 网站域名 66 个。

网页篡改方面。 2019 年，我国境内遭篡改的网站有约 18.6 万个，其中被篡改的政府网站有 515 个。从网页遭篡改的方式来看，被植入暗链的网站占全部被篡改网站的比例大幅下降，占比较小。从境 内被篡改网页的顶级域名分布来看，“.com”、“.net”和“.org” 占比分列前三位，分别占总数的 75.2%、4.7%和 1.2%，占比分布情况与 2018 年无明显变化。

2019 年，发生在我国云平台上的网络安全事件或威胁情况相比 2018 年进一步加剧。首先，我国主流云平台上发生的各类网络安全事件数量占比仍然较高，遭受 DDoS 攻击次数占境内目标被攻击次数的 74.0%、被植入后门链接数量占境内全部被植入后门链接数量的 86.3%、被篡改网页数量占境内被篡改网 页数量的 87.9%。其次，攻击者经常利用我国云平台发起网络攻击。云平台作为控制端发起 DDoS 攻击次数占境内控制发起 DDoS 攻击次数的 86.0%、作为木马和僵尸网络恶意程序控制的 被控端 IP 地址数量占境内全部被控端 IP 地址数量的 89.3%、承载的恶意程序种类数量占境内互联网上承载的恶意程序种类数量的 81.0%。

我国的网站监测能力水平，是建设网络安全的一道重要屏障。分析数据的由来，我们可以清楚了解，IP地址定位在网站监测甚至在整个网络安全的基础性地位，因此完备IP数据库，持续增强IP数据监测与分析能力，是国家安全建设的需要，也必将促使相关领域企业刻苦深挖、不断进步。

                                                                                                                          （数据来自：2019年我国互联网网络安全态势综述）