欢迎阅读 Cloudflare 季度 DDoS 威胁形势报告第 23 版。本报告基于 Cloudflare 网络数据,全面分析了分布式拒绝服务 (DDoS) 攻击不断演变的威胁态势。本版报告重点关注 2025 年第三季度。
2025 年第三季度期间,Aisuru 僵尸网络主导了威胁形势,该网络在全球范围内控制的受感染主机数量估计在 100 万至 400 万之间。Aisuru 发起超大规模 DDoS 攻击,其流量峰值通常超过 1 太比特每秒 (Tbps) 和 10 亿数据包每秒 (Bpps)。这些攻击的数量季度环比激增 54%,日均 14 次超大规模攻击。攻击规模前所未有,峰值分别达到 29.7 Tbps 和 14.1 Bpps。
除了 Aisuru 外,本报告中的其他关键洞察包括:
自 2025 年 9 月起,针对 AI 公司的 DDoS 攻击流量环比激增多达 347%,因而针对 AI 公众关注和监管审查增加。
2025 年第三季度,欧盟与中国之间围绕稀土矿物和电动汽车关税的贸易紧张局势不断升级,与此同时,针对采矿、矿物与金属行业以及汽车行业的 DDoS 攻击也显著增加。
总体而言,2025 年第三季度,Cloudflare 的自主防御系统共阻止了 830 万次 DDoS 攻击。这相当于平均每小时近 3780 次 DDoS 攻击。DDoS 攻击数量环比增长了 15%,同比增长了 40%。
2025 年前三个季度期间,Cloudflare 已经累计缓解了 3620 万次 DDoS 攻击。这相当于 Cloudflare 在 2024 年全年缓解 DDoS 攻击总数的 170%。
2025 年第三季度,Cloudflare 自动检测并缓解了 830 万次 DDoS 攻击,环比增长 15%,同比增长 40%。
2025 年第三季度,网络层 DDoS 攻击占所有 DDoS 攻击的 71%,共计 590 万次,环比增长 87%,同比增长 95%。然而,HTTP DDoS 攻击仅占 2025 年第三季度 DDoS 攻击的 29%,即 240 万次 DDoS 攻击,环比减少 41%,同比减少 17%。
在 2025 年第三季度,Cloudflare 平均每小时缓解了 3780 次 DDoS 攻击。
Aisuru 以超复杂、超大规模 DDoS 攻击打破记录
破坏性力量
Aisuru 的目标包括电信服务提供商、游戏公司、托管服务提供商和金融服务等。据 Krebs on Security 报道,仅因流经互联网服务提供商 (ISP) 的庞大网络流量,该僵尸网络还[在美国]造成了“大范围的附带性互联网中断”。
好好体会下其中意味。如果 Aisuru 的攻击流量在互联网服务提供商 (ISP) 甚至并非攻击目标的情况下,都能导致美国部分互联网基础设施终端,那么请设想一下,当它直接瞄准未受保护或保护不足的 ISP、关键基础设施、医疗服务、应急服务以及军事系统时,将能造成何种后果。
僵尸网络租用与 DDoS 攻击统计数据
Aisuru 的“组件”正被分销商作为僵尸网络租用服务提供,因此任何人都有可能瘫痪骨干网络、饱和互联网链路、中断数百万用户的服务并妨碍对关键服务的访问,从而在整个国家范围内制造混乱——而这一切的成本仅为几百到几千美元。
自 2025 年初以来,Cloudflare 已经缓解了 2867 次 Aisuru 攻击。仅在第三季度,Cloudflare 就缓解了 Aisuru 发起的 1304 次超大规模攻击。这相当于环比增长 54%。这些攻击包括创下世界纪录的 29.7 Tbps DDoS 攻击和 14.1 Bpps DDoS 攻击。
上述 29.7 Tbps 攻击是 UDP 地毯式轰炸,平均每秒轰炸 15000 个目标端口。这种分布式攻击随机化了各种数据包属性,试图绕过防御,但 Cloudflare 的缓解系统完全自主检测并缓解了所有攻击,包括这次攻击。如要了解更多信息,请阅读 Cloudflare 如何缓解超大规模 DDoS 攻击。
第三季度期间,虽然大多数 DDoS 攻击的规模相对较小,但每秒超过 1 亿个数据包(100 Mpps)的 DDoS 攻击数量环比增长了 189%。类似地,超过 1 Tbps 的攻击环比增长了 227%。在 HTTP 层,每 100 次攻击中,就有 4 次超过每秒 100 万个请求。
此外,大多数攻击——71% 的 HTTP DDoS 攻击和 89% 的网络层攻击——持续时间都短于 10 分钟。这个速度对于任何人工或按需服务来说都太快,无法及时响应。一次短暂的攻击可能仅持续几秒钟,但它造成的破坏可能非常严重,而恢复所需的时间则要长得多。工程和运营团队需要经历一个复杂的多步骤流程,才能使关键系统重新上线,检查分布式系统中的数据一致性,并为客户恢复安全可靠的服务。
短暂的 DDoS 攻击,无论是否为超大规模,其影响都可能远远超出攻击本身持续的时间。
排名前十的攻击来源地中,有七个位于亚洲地区,其中印度尼西亚位居首位。印度尼西亚是最大的 DDoS 攻击来源地,而且(自 2024 年第三季度起)该国已连续一年位居全球第一。甚至在那之前,印度尼西亚一直位于攻击来源地的前列。2024 年第二季度,印度尼西亚从之前几个季度及几年内的较低排名攀升为第二大来源地。
为了说明印度尼西亚作为 DDoS 攻击枢纽的崛起,(自 2021 年第三季度起)短短五年内,源自印度尼西亚的 HTTP DDoS 攻击请求所占百分比已惊人地增长了 31900%。
DDoS 攻击者以稀土矿产为目标
根据多家媒体报道称,随着第 25 次欧盟—中国贸易峰会期间围绕电动汽车(EV)关税、稀土出口以及网络安全问题的紧张局势不断升级,针对矿业、矿产和金属行业的 DDoS 攻击在 2025 年第三季度显著增加。BBC 报道称:“中国还加强了对稀有金属和关键矿产的出口控制。”总体而言,采矿、矿产与金属行业在全球排名中跃升了 24 位,成为全球第 49 大受攻击行业。
汽车行业遭受的 DDoS 攻击激增幅度最大,仅一个季度内排名就跃升了 62 位,成为全球受攻击最严重的第六大行业。网络安全公司也经历了 DDoS 攻击的显著增长。网络安全行业上升了 17 位,成为全球第 13 大受攻击最严重的行业。
针对 AI 的 DDoS 攻击激增了 347%
2025 年 9 月,托尼·布莱尔研究所的一项民意调查显示,英国民众将 AI 视为一种经济风险多于机遇,引发了围绕自动化与信任的大量头条报道。英国法律委员会对政府中的 AI 使用情况启动了审查,使当月在 AI 伦理、监管以及生成式 AI 采用方面格外引人注目。2025 年 9 月,Cloudflare 还观察到,针对生成式 AI 公司的 HTTP DDoS 攻击流量月环比增幅高达 347%(基于对领先生成式 AI 服务的抽样数据)。
十大受攻击最严重的行业
在 2025 年第三季度,信息技术与服务行业位居受攻击最严重行业榜首,其次是电信行业,以及泛娱乐与赌场。值得注意的是,汽车行业排名季度环比上升了 62 位。媒体、制作和出版行业遭受的攻击也大幅上升,其次是银行和金融服务行业、零售行业和消费电子行业。
地缘政治事件与 DDoS 攻击活动之间存在直接关联。
停止掠夺!
“Lootuvaifi”(停止掠夺!)这一马尔代夫语口号,成为 2025 年马尔代夫抗议活动中的集结口号。抗议者走上街头,反对“民众所感知的政府腐败与民主倒退”,抗议高潮出现在“终结言论自由”的媒体法案提出之际。联合国人权事务高级专员表示,该法案若不撤回,将“严重破坏马尔代夫人民的媒体自由与言论自由权”。2025 年马尔代夫的抗议活动伴随着密集的 DDoS 攻击。相应地,马尔代夫是 DDoS 攻击增幅最大的国家。在 2025 年第三季度,马尔代夫的排名跃升了 125 位,成为全球受攻击最严重国家中的第 38 位。
“阻止一切”
法国工会于 2025 年 9 月发起这场名为“阻止一切”(法语为“Bloquons Tout”)的全国性的抗议运动,旨在反对马克龙总统政府的新紧缩措施、养老金制度改革以及生活成本上涨问题。工会呼吁通过协调罢工和交通封锁使国家陷入瘫痪的同时,网络威胁行为者则对法国网站和互联网服务发动了多轮 DDoS 攻击。法国的排名季度环比跃升 65 位,成为全球受攻击最严重国家中的第 18 位。
“在布鲁塞尔为加沙划定红线”
在更多国家,DDoS 攻击的增加与抗议活动同时出现。例如,比利时跃升了 63 位,成为全球受攻击最严重国家中的第 74 位,同时“数万名抗议者在布鲁塞尔为加沙划定红线”。
十大受攻击最严重的行业
在 2025 年第三季度,中国仍然是受到最多攻击的国家,其次是土耳其,德国位居第三。本季度最显著的变化是美国遭受的 DDoS 攻击有所增加,其排名跃升了 11 位,成为受攻击最严重国家中的第五位。菲律宾在排名前十的国家中增幅最大——其排名跃升了 20 位。
网络层 DDoS 攻击
UDP DDoS 攻击数量(部分由 Aisuru 攻击推动)季度环比增长了 231%,使其成为网络层的最主要攻击手段。DNS 洪水位居第二,SYN 洪水位居第三,ICMP 洪水位居第四,在所有网络层 DDoS 攻击中占比略高于一半。
尽管自首次大规模亮相以来已过去近十年,Mirai DDoS 攻击仍然相当普遍。几乎每 100 次网络层 DDoS 攻击中,就有 2 次是由 Mirai 僵尸网络的变种发起的。
HTTP DDoS 攻击
近 70% 的 HTTP DDoS 攻击源自 Cloudflare 已知的僵尸网络。这反映了我们的客户从使用 Cloudflare 中获得的好处之一。一旦某个僵尸网络攻击了 Cloudflare 数百万客户中的任何一个,所有客户都会自动获得针对该僵尸网络的防护。
另有约 20% 的 HTTP DDoS 攻击源自虚假或无头浏览器,或包含可疑的 HTTP 属性。余下约 10%由一般洪水、异常请求、缓存击穿攻击以及针对登录端点的攻击构成。
我们已经进入了一个 DDoS 攻击的复杂性和规模迅速增长的时代——超越我们几年前的一切想象。许多组织在跟上这一不断演变的威胁态势方面都面临着挑战。
鉴于当前的威胁态势,对于依赖本地部署缓解设备或按需清洗中心解决方案的组织而言,重新审视其防御策略可能有益无害。
Cloudflare 拥有庞大的全球网络和自主 DDoS 缓解系统,致力于为所有客户提供免费的无限量 DDoS 防护,无论客户面临的 DDoS 攻击规模、持续时间或数量如何。