1 基本情况
根据天融信公司对anva提供的近三万个恶意域名持续的跟踪和检测,在2013年依旧保活的恶意域名地址对数量是12696个。
这些恶意域名地址对去重后的域名数量是5387个,而去重的IP地址数量是4394个。可以看出这些域名或地址都是多对多的关系,即会出现一个IP地址对应多个域名,或一个域名对应多个不同的IP地址的情况。
对于这些IP地址,我们发现出现了127.0.0.1、0.0.0.0、255.255.255.255、243.185.187.39等特殊地址,这是欲解析的域名已经被域名管理机构识别为恶意而输出的特殊地址。除了这些特殊地址之外,其他地址分别属于大陆或海外。图一所示这三种地址的比例情况。特殊地址数量极少,可以忽略不计,而海外地址和大陆地址的比例大概为二比一。
图1 2013年恶意地址总体地理分布(来源:天融信公司)
图2所示为2013年中国大陆地区恶意地址按省份分布,列前5位的省份是广东省(22%)、浙江省(15%)、江苏省(14%)、北京市(12%)和山东省(7%)。前五位地区所占恶意地址的百分比达到70%,集中度较高。
图2 2013年恶意地址中国大陆地区按省份分布(来源:天融信公司)
图3所示为2013年海外恶意地址按国家分布情况。列前五位的国家分别是美国(69%)、韩国(8%)、香港(6%)、德国(4%)、加拿大(2%)。来自美国的恶意地址占全部海外恶意地址的三分之二,也占全部恶意地址的三分之一。也就是说,每出现3个恶意地址中,其中就有1个恶意地址来自美国。
图3 2013年恶意地址海外分布(来源:天融信公司)
图4所示为恶意域名分按一级域名的统计情况。其中,比例排名前五位的是.com域名(20%)、.cc域名(10%)、.net域名(10%)、.org域名(8%)、.tk域名(7%)。
图4 2013恶意域名按一级域名统计情况(来源:天融信公司)