欢迎阅读第 24 版 Cloudflare 季度 DDoS 威胁报告。在本报告中,Cloudforce One 基于来自 Cloudflare 网络的数据,全面分析了不断演变的分布式拒绝服务 (DDoS) 攻击威胁态势。本版报告重点关注 2025 年第四季度,以及分享 2025 年综合数据。
2025 年第四季度,Aisuru-Kimwolf 僵尸网络发起了一场前所未有的轰炸攻击,被称为“圣诞节前夜”DDoS 攻击活动。攻击活动以 Cloudflare 客户以及 Cloudflare 仪表板和基础设施为目标,攻击者发起了超大容量 HTTP DDoS 攻击,攻击速率超过每秒 2 亿次请求 (rps),距离创纪录的 31.4 TB/秒 (Tbps) 攻击仅过去几周。
2025 年,DDoS 攻击数量激增 121%,平均每小时自动缓解的攻击数量达到 5,376 次。
在 2025 年第四季度,香港的排名跃升了 12 位,成为全球遭受 DDoS 攻击第二多的地点。英国的排名也惊人地上升了 36 位,成为遭受 DDoS 攻击第六多的地点。
受感染的 Android TV(属于 Aisuru-Kimwolf 僵尸网络的一部分)对 Cloudflare 网络发起了超大容量 HTTP DDoS 攻击,与此同时电信公司成为遭受 DDoS 攻击最多的行业。
2025 年,DDoS 攻击总数增长两倍以上,达到惊人的 4710 万次。近年来,此类攻击呈爆炸式增长:2023 年至 2025 年间,DDoS 攻击数量激增了 236%。
2025 年,Cloudflare 平均每小时缓解 5,376 次 DDoS 攻击,其中 3,925 次为网络层 DDoS 攻击,1,451 次为 HTTP DDoS 攻击。
2025 年网络层 DDoS 攻击数量增长三倍以上
增长最显著的是网络层 DDoS 攻击,同比增长超过三倍。2025 年,Cloudflare 缓解了 3440 万次网络层 DDoS 攻击;相比之下,2024 年缓解了 1140 万次网络层 DDoS 攻击。
其中相当一部分网络层攻击(大约 1350 万次)的目标是受 Cloudflare Magic Transit 保护的全球互联网基础设施以及 Cloudflare 自身的基础设施,这些攻击发生在 2025 年第一季度一次持续了 18 天的 DDoS 攻击活动中。在这些网络层攻击中,690 万次针对 Magic Transit 客户,其余 660 万次则直接针对 Cloudflare。
此次攻击是一次多手段 DDoS 攻击活动,包括 SYN 洪水攻击、Mirai 生成的 DDoS 攻击 和 SSDP 放大攻击等。Cloudflare 系统自动检测并缓解了这些类型的攻击。事实上,我们是在准备 2025 年第一季度 DDoS 威胁报告时才发现此次攻击活动,这恰好体现了 Cloudflare DDoS 缓解措施的有效性!
2025 年第四季度,DDoS 攻击数量比上一季度增长了 31%,比 2024 年则增长了 58%。网络层 DDoS 攻击是造成这一增长的主要原因。2025 年第四季度,网络层 DDoS 攻击占 DDoS 攻击总数的 78%。HTTP DDoS 攻击数量保持不变,但攻击规模却激增,达到了自 2023 年 HTTP/2 Rapid Reset DDoS 攻击活动以来的最高水平。最近的攻击激增是 Aisuru-Kimwolf 僵尸网络发起,我们将在下一节详细介绍。
2025 年 12 月 19 日星期五,Aisuru-Kimwolf 僵尸网络开始对 Cloudflare 基础设施和 Cloudflare 客户发起超大容量 DDoS 攻击。这次攻击活动的新特点是攻击规模:该僵尸网络使用了超大容量 HTTP DDoS 攻击,攻击速率超过每秒 2000 万次请求 (Mrps)。
Aisuru-Kimwolf 僵尸网络是一个庞大的恶意软件感染设备集,主要是受感染的 Android TV。根据估计,该僵尸网络由 100 万至 400 万受感染的主机组成。它能够发起 DDoS 攻击,可能破坏关键基础设施,导致大多数传统的基于云的 DDoS 防护解决方案崩溃,甚至中断整个国家的网络连接。
在整个攻击过程中,Cloudflare 的自主 DDoS 防御系统检测并缓解了所有攻击,具体包括 384 次数据包密集型攻击、329 次比特密集型攻击和 189 次请求密集型攻击。总计 902 次超大容量 DDoS 攻击,平均每天 53 次攻击。
攻击活动期间,超大容量 DDoS 攻击的平均规模分别为 3 Bpps、4 Tbps 和 54 Mrps。攻击活动期间记录到的最高速率分别为 9 Bpps、24 Tbps 和 205 Mrps。
为了便于理解,打个比方来说,205 Mrps DDoS 攻击速率相当于英国、德国和西班牙三国人口同时输入网址并在同一秒内按下回车键的总和。
虽然“圣诞节前夜”攻击活动规模巨大,但它仅占 Cloudflare 全年观察到的超大容量 DDoS 攻击的一小部分。
根据 Cloudflare 的观察,2025 年全年超大容量 DDoS 攻击数量持续增加。与上一季度相比,2025 年第四季度的超大容量耗尽攻击增加了 40%。
随着 2025 年全年攻击数量的增加,攻击规模也随之扩大,增幅超过 700%,其中一次 DDoS 攻击的速率高达 31.4 Tbps,但仅持续了 35 秒。下图显示了 Cloudflare 检测并拦截的 DDoS 攻击规模的快速增长趋势,每一次攻击都创下世界纪录,即是当时任何公司公开披露的最大规模攻击。
与所有其他攻击一样,这次 31.4Tbps DDoS 攻击也是由 Cloudflare 的自主 DDoS 防御系统自动检测并缓解。该系统能够快速适应并锁定 Aisuru-Kimwolf 等僵尸网络。
大多数超大容量 DDoS 攻击的目标都是 Cloudflare 在电信、服务提供商和运营商行业的客户。Cloudflare 的游戏行业客户以及提供生成式 AI 服务的客户,也成为重点攻击目标。最后,Cloudflare 自身的基础设施也遭受了多种攻击手段的不同类型攻击,例如 HTTP 洪水、DNS 攻击和 UDP 洪水。
在分析各种规模的 DDoS 攻击时,电信、服务提供商和运营商行业也是遭受到最多攻击的行业。而之前,信息技术和服务行业曾居于“首位”。
博彩与赌场行业以及游戏行业分别排名第三和第四。本季度,排名前十的行业中变化最大的是计算机软件和商业服务行业,两者排名均上升了若干位。
这些行业遭受最多攻击是因为它们发挥着关键基础设施的作用,是其他业务的核心骨干,或者对服务中断和延迟极其敏感,且会立即造成高额的财务损失。
DDoS 攻击态势呈现出可预测的稳定性,但全球遭受攻击最多的地点也出现了显著变化。中国、德国、巴西和美国等目标攻击地点排名前五,表明这些地区对攻击者依旧具有吸引力。
中国香港的排名大幅提高,上升了十二位,位列第二。然而,更引人注目的是英国,其排名在本季度飙升了惊人的 36 位,成为第六大遭受攻击最多的地区。
越南在遭受攻击最多的国家/地区中排名第七,紧随其后的是阿塞拜疆(排名第八)、印度(排名第九)和新加坡(排名第十)。
孟加拉国取代印度尼西亚,成为 2025 年第四季度最大的 DDoS 攻击来源地。印度尼西亚在连续一年占据 DDoS 攻击来源地榜首之后,降至第三位。厄瓜多尔的排名也上升了两位,成为第二大 DDoS 攻击来源地。
值得注意的是,阿根廷的排名猛增了 20 位,成为第四大 DDoS 攻击来源地。中国香港上升了三位,位列第五。乌克兰排名第六,紧随其后的是越南、中国台湾、新加坡和秘鲁。
十大攻击来源网络清单看上去就像一份互联网巨头名单,揭示了现代 DDoS 攻击的运行机制,引人入胜。共同点显而易见:威胁行为者正积极利用全球易于访问、功能强大的网络基础设施,主要是面向公众的大型网络服务。
我们发现,大多数 DDoS 攻击来自与云计算平台和云基础设施提供商相关的 IP 地址,包括 DigitalOcean (AS 14061)、Microsoft (AS 8075)、Tencent (AS 132203)、Oracle (AS 31898) 和 Hetzner (AS 24940)。这表明,轻松配置的虚拟机与大规模攻击之间存在着密切联系。此类云攻击来源主要集中在美国,紧随其后的是与传统电信公司 (Telcos) 相关联 IP 地址的大量攻击。这些电信公司主要来自亚太地区(包括越南、中国大陆、马来西亚和中国台湾),占据了前十中的其它名额。
这种地理位置和组织的多样性证实了攻击的双重现实:虽然排名最高的攻击来源规模庞大,通常源自全球云中心;但实际上引发了真正的全球性问题,攻击通过互联网的关键路径从世界各地路由传播。在许多 DDoS 攻击中,我们发现了数千个不同来源的 ASN,这凸显了僵尸网络节点的确分布在全球各地。
为了帮助托管服务提供商、云计算平台和互联网服务提供商识别并移除发起这些攻击的滥用 IP 地址/账户,我们利用 Cloudflare 在抵御 DDoS 攻击方面的独特优势,向服务提供商提供免费的 DDoS 僵尸网络威胁数据源。
全球已有 800 多个网络注册使用了该情报源,而且我们已见证整个行业社区通过密切协作,成功打击了僵尸网络节点。
DDoS 攻击的复杂性和规模正在迅速增长,远远超出了以往的想象。这种不断演变的威胁态势给许多企业带来了巨大的挑战,使其难以跟上步伐。目前依赖于本地部署缓解设备或按需清洗中心的企业,可能需要重新评估其防御策略。
Cloudflare 致力于利用其庞大的全球网络和自主 DDoS 缓解系统,为所有客户提供免费、无限的 DDoS 防护,无论攻击规模、持续时间或容量如何。
Cloudforce One 肩负着帮助保护互联网安全的使命,它利用 Cloudflare 全球网络(保护着大约 20% 的 Web 内容)的遥测数据,支持其威胁研究和运营响应,从而为全球数百万个组织的关键系统提供保护。