恶意地址跟踪

10 articles

互联网典型恶意域名跟踪思路探索

 

1 缘起

经过多年对互联网上的恶意域名解析对应地址的跟踪,发现有的单个IP地址对应的恶意域名数量非常巨大,达到数百上千,在每周的大陆和海外单个IP地址对应恶意域名数量前10位地址列表中就可以清晰的反映出来。这个列表一般的变化不大,但是一旦出现了变化,就代表目前互联网上出现了新的集中爆发的恶意行为,因此大陆和海外单个IP地址对应恶意域名数量前10位地址变化跟爆发性的互联网恶意行为的关联度很大,这是一个深入分析和探究恶意地址变化规律的突破口。通过对这个列表的排名变化的持续跟踪,可以直观的发现互联网的恶意行为的爆发,持续和迁移的全生命周期过程。

如果再采用一些创新思路,比如考虑到[......]

Read more

2014年第25周恶意地址跟踪小结

一、综述

  • 本期全部有效地址数量是2388个,其中海外有效地址数量是1540个,大陆有效地址数量是848个,全部有效地址较上周相比持平,仅上升3个;
  • 属于大陆的重复新增地址数量大幅下降,海外的数量有小幅增加。大陆的数量是海外的40%。最近河南的重复新增地址数量持续位于第一位,需要引起关注;在属于海外的重复新增地址中,美国、韩国的地址占绝大多数,本期没有出现香港的重复新增地址;
  • 单个恶意地址对应的恶意域名数量前10位列表中,大陆和海外的排名没有变化;
  • 恶意地址数量持续保持在高位。初步形成了一段平稳的时期,我们将继续跟踪和记录恶意地址的变化情况,以便希望能够见微知著,从这些变化来[......]

Read more

2014年第24周恶意地址跟踪小结

一、综述

  • 本期全部有效地址数量是2385个,其中海外有效地址数量是1520个,大陆有效地址数量是865个,全部有效地址较上周相比持平,仅上升4个;全部有效恶意地址数量连续3周保持在一个非常狭窄的区间中。在大陆的恶意地址分布排名列表中,广东、北京、江苏、浙江、河南位居前五;在海外恶意地址分布排名列表中,美国、韩国、香港位居前三;
  • 属于大陆的重复新增地址数量首次超过海外,大陆26个,海外21个。其中来自河南、广东、河北、辽宁、福建恶意地址数量排名前五;在属于在海外的重复新增地址中,韩国、美国、香港的数量排名前三;这些地址还多数涉及到发送大量的垃圾邮件的恶意行为;
  • 单个恶意地址对应的[......]

Read more

2014年第23周恶意地址跟踪小结

       本期从国家权威部门获取的恶意域名数是21个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的的恶意域名数是7399个。这些域名本周的验证结果如下:

  • 有效域名即可以解析出有效IP地址的域名数量是7350个,处理域名即不能有效解析的域名数量是49个,跟前一周相比下降了52%;有效域名数量增加了1%;
  • 本期新增地址数量是251个,消失地址数量是249个;新增地址数量比前一周下降77%,而消失地址数量比前一周相比增加了25%;
  • 本期全部有效地址数量是2381个,其中海外有效地址数量是1517个,大陆有效地址数量是864个,全部有效地址较上周[......]

Read more

2014年第22周恶意地址跟踪情况小结

本统计期最显著的特点是恶意地址数量出现一次非常剧烈的上升。全部有效地址数量是2379个,其中海外有效地址数量是1506个,大陆有效地址数量是837个,全部有效地址较上周相比上升64%;这显示着遏制恶意地址的工作是复杂的、曲折的,难以一蹴而就,需要有打持久战的思想准备。参见下图:

 

2014-22

对恶意地址走势的分析,个人认为还是会向下走,继续震荡。

 

 

2014年第21周恶意地址跟踪情况小结

本期最显著的特点是恶意地址数量的继续呈下降走势。全部有效地址数量是1447个,其中海外有效地址数量是942个,大陆有效地址数量是505个,全部有效地址较上周相比下降17.8%;恶意地址数量的继续呈下降走势。参见下图:

2014-21

以下三个结论依然有效:

  1. CNCERT开展的为期近一个月的专项保障工作效果比较明显;
  2. 有关部门对恶意地址的的打击是持续不断的;
  3. 但是需要关注恶意地址向海外迁移的速度也在加快。

 

2014年第20周恶意地址跟踪小结

  • 本统计期最显著的特点是恶意地址数量持续走低—全部有效地址数量为1761个,其中海外有效地址数量是1135个,大陆有效地址数量是626个,全部有效地址较上周相比下降22%;这个数值已经是2014年最低值了。见下图:

2014-20

从这个情况来看,可以得出以下结论:

  1. 从2014年5月13日到6月10日期间,CNCERT开展的为期近一个月的专项保障工作效果比较明显。跟踪的恶意地址数量已经从每周的2500个左右持续下跌到2000个以下;
  2. 这预示着当今对恶意地址的态度从以前那样运动式的一窝蜂到现在进行的持续不断地打击。从3月两会期间到现在,这种打击活动一直处于高压态势,位于大陆的恶[......]

Read more

从恶意地址数量的变化情况来判断“净网”行动的效果

1 恶意域名及对应恶意IP地址简单介绍

什么是恶意地址?一句话,就是地下网络经济的核心IP地址,对应的是地下经济集团的核心服务器,其中包括各种病毒下载器,盗号工具等恶意代码,也就是传播网络病毒的最终的“放马”站点,同时也包括各类钓鱼网站、黄色网站、赌博网站、DDOS控制端、垃圾邮件服务器等。

在互连网上这些恶意地址对应的是地下网络经济的恶意域名或恶意域名组,指在一个挂马网页上出现的多个恶意代码下载链接所对应的所有域名;为了躲避安全设备的url 过滤,地下经济集团会利用一个或几个IP地址来注册有规律变化的域名组;

根据我对这些恶意域名对应的有效恶意地址的变化的长期跟踪和研究,发现以[......]

Read more

2014年一季度恶意地址跟踪报告

1  总体情况

一季度一共从国家权威部门获取的恶意域名数是233个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的的恶意域名数是7267个。

根据我们跟踪的结果发现,恶意域名数量跟对应的地址数量是完全不匹配的,存在一个地址上可以加载几百个域名,以及一个域名可以对应多个IP地址的情况,但总的情况还是域名数量远远大于IP地址数量。

这些域名本季度的对应的恶意地址数量验证结果如下图:

2014-ip

从图上可以看出,每周的域名验证结果都是不一样的,但是在一定的区间内波动,最高2700多个,最低只有2000个左右,平均在2500左右;

需要关注的是从3月中旬(第10周)起有[......]

Read more

天融信公司2013年关于恶意域名和对应地址跟踪情况报告

1 基本情况

根据天融信公司对anva提供的近三万个恶意域名持续的跟踪和检测,在2013年依旧保活的恶意域名地址对数量是12696个。

这些恶意域名地址对去重后的域名数量是5387个,而去重的IP地址数量是4394个。可以看出这些域名或地址都是多对多的关系,即会出现一个IP地址对应多个域名,或一个域名对应多个不同的IP地址的情况。

对于这些IP地址,我们发现出现了127.0.0.1、0.0.0.0、255.255.255.255、243.185.187.39等特殊地址,这是欲解析的域名已经被域名管理机构识别为恶意而输出的特殊地址。除了这些特殊地址之外,其他地址分别属于大陆或海[......]

Read more