欢迎阅读第 22 版 Cloudflare DDoS 威胁形势报告。本报告每季度发布一次,基于来自 Cloudflare 网络 的数据,就不断演变的分布式拒绝服务(DDoS)攻击 威胁形势提供全面分析。本版报告重点关注 2025 年第二季度。要查看过去的报告,请访问 www.ddosreport.com 。
2025 年第二季度期间,6 月是 DDoS 攻击最频繁的月份,在观察到的所有活动中占比达到 38%。值得注意的攻击目标是一家受 Cloudflare 保护的东欧独立新闻媒体,该媒体报称,在报道 LGBTQ 骄傲月期间举行的当地骄傲游行后遭到了攻击。
DDoS 攻击继续打破纪录。2025 年第二季度,Cloudflare 自动阻止了有史以来报告的最大规模 DDoS 攻击,峰值达到 7.3 太比特每秒(Tbps) 和 48 亿数据包每秒(Bpps)。
总体而言,在 2025 年第二季度,超大规模 DDoS 攻击呈爆炸式增长。Cloudflare 阻止了超过 6500 次超大容量 DDoS 攻击,平均每天 71 次。
尽管与上一季度相比,DDoS 攻击的总数有所下降——上一季度由于针对 Cloudflare 网络和受 Cloudflare 保护的关键互联网基础设施的一场大规模活动,数量发生了前所未有的激增——但 2025 年第二季度的攻击数量仍比 2024 年第二季度高出 44%。关键基础设施继续面临持续压力,电信、服务提供商和运营商再次跃居成为最受攻击的行业。
本报告中的所有攻击均被我们的自主防御系统自动检测并阻止。
要详细了解 DDoS 攻击和其他类型的网络威胁,请访问我们的学习中心。请访问 Cloudflare Radar,查看本报告的交互式版本,进一步深入探索数据。对于有兴趣研究互联网趋势的用户,Radar 还提供一个免费 API 。您还可以进一步了解这些报告编制时所使用的方法论。
2025 年第二季度,Cloudflare 缓解了 730 万次 DDoS 攻击,远低于第一季度的 2050 万次。第一季度发生了一场针对 Cloudflare 自身及受其保护的其他关键基础设施的攻击活动,持续 18 天,导致了 1350 万次 DDoS 攻击。
DDoS 攻击(按季度)
2025 年刚过一半,到目前为止,Cloudflare 已经阻止了 2780 万次 DDoS 攻击,相当于我们在 2024 年全年阻止 DDoS 攻击总数的 130%。
DDoS 攻击(按年份)
进一步分析可见,第 3 层/第 4 层(L3/4)DDoS 攻击环比减少 81%,至 320 万次,而 HTTP DDoS 攻击增长 9%,至 410 万次。同比增幅仍然维持较高水平。总体攻击数量比 2024 年第二季度高出 44%,其中 HTTP DDoS 攻击同比增长最快,达到 129%。
DDoS 攻击(按月份)
在 2025 年第二季度,Cloudflare 阻止了超过 6500 次超大容量 DDoS 攻击,平均每天 71 次。超大容量攻击包括超过 1 Bpps 或 1 Tbps 的 L3/4 DDoS 攻击,以及超过每秒 100 万次请求(Mrps)的 HTTP DDoS 攻击。
超过 1 亿数据包每秒(pps)的超大容量 DDoS 攻击数量较前一季度激增了 592%,而超过 10 亿 pps 和 1 太比特每秒(Tbps)的攻击数量较前一季度翻了一番。超过 100 万 rps 的 HTTP DDoS 攻击总数稳定在 2000 万次左右,平均每天接近 22 万次攻击。
2025 年第二季度的超大容量 DDoS 攻击
当被问及在 2025 年第二季度遭受的 DDoS 攻击背后的实施者时,大多数(71%)受访者表示不知道。在余下 29% 已识别出威胁行为者的受访者中,63% 指出是竞争对手所为,这种模式在游戏、泛娱乐和加密货币行业尤为常见。另有 21% 的受访者将攻击归因于国家级或国家支持的行为者,5% 受访者表示他们无意中攻击了自己(sef-DDoS),成为勒索者的目标,或遭到心怀不满的客户/用户攻击。
2025 年第二季度报告的主要威胁行为者
报告称,受到攻击的 Cloudflare 客户中,报告成为勒索 DDoS 攻击目标或受到威胁的客户百分比较上一季度增加了 68%,与 2024 年同季度相比增加了 6%。
2025 年第二季度勒索 DDoS 攻击
深入分析可见,2025 年 6 月,勒索 DDoS 攻击大幅增加。大约三分之一受访者报称受到威胁或遭受勒索 DDoS 攻击。
2025 年第二季度的勒索 DDoS 攻击(按月份)
2025 年第二季度遭受攻击最多的前 10 个地区排名发生了显著变化。中国上升两位并重回第一位,巴西跃升四位到第二位,德国下降两位到第三位,印度上升一位到第四位,韩国上升四位到第五位。土耳其下降了四位至第六位,香港下降三位至第七位,越南惊人地飙升十五位至第八位。与此同时,俄罗斯跃升四十位至第九位,阿塞拜疆跃升三十一位,跻身前十。
2025 年第二季度遭受 DDoS 攻击最多的地区
需要注意的是,这些被攻击的位置是由服务受到攻击的 Cloudflare 客户的账单国家/地区决定的,而不是这些国家/地区本身受到攻击。换句话说,高排名仅仅意味着在该账单所属司法管辖区中有更多我们的注册客户成为 DDoS 流量的目标,而不意味着直接的地缘政治攻击。
2025 年第二季度遭受攻击最多的十大行业排名也出现了一些值得注意的变化。电信、服务提供商和运营商上升一位,排名第一,互联网行业上升两位,排名第二。信息技术和服务行业维持第三位,游戏行业上升一位至第四位。泛娱乐下降了四位至第五位,银行和金融服务行业保持在第六位。零售行业上升一位至第七位,农业大幅飙升三十八位至第八位。计算机软件上升了两位,达到第九位,政府机构跃升了两位,进入受攻击最多行业的前十位。
2025 年第二季度受 DDoS 攻击最多的行业
与上一季度相比,2025 年第二季度的 10 个主要 DDoS 攻击来源排名也出现了一些变化。印度尼西亚上升一位至第一位,新加坡上升两位至第二位,中国香港下降两位至第三位,阿根廷下降一位至第四位,而乌克兰则保持为第五大 DDoS 攻击来源地。俄罗斯飙升了六位,成为第六大来源,其次是厄瓜多尔,跃升了七位。越南上升一位,成为第八大来源。荷兰上升了四个位次,成为第九大 DDoS 攻击来源地,而泰国下降了三个位次,成为第十大 DDoS 攻击来源地。
2025 年第二季度 DDoS 攻击的主要来源
需要注意的是,这些“来源”排名反映了僵尸网络节点、代理或 VPN 端点的所在位置,而不是威胁行为者的实际位置。对于 IP 欺骗行为猖獗的 L3/4 DDoS 攻击,我们依托覆盖全球 330 多个城市的网络,将每个数据包定位至首次接收并拦截该数据包的 Cloudflare 数据中心,从而实现极高的精准度。
ASN(自治系统编号)是分配给一个网络或一组 IP 网络(在互联网上按单个路由策略运行)的唯一标识符。它用于在不同系统之间使用 BGP(边界网关协议) 等协议交换路由信息。
在过去一年左右的时间里,位于德国的 Hetzner (AS24940) 网络首次从 HTTP DDoS 攻击主要来源地的榜首降至第三位。取而代之的是,位于德国的 Drei-K-Tech-GmbH (AS200373)(又名 3xK Tech)跃升六位,成为第一大 HTTP DDoS 攻击来源。位于美国的 DigitalOcean (AS14061) 上升一位至第二位。
HTTP DDoS 攻击的十大 ASN 来源
如上图所示,所列 10 个 ASN 中的 8 个提供虚拟机 (VM)、托管或云服务,这表明基于虚拟机的僵尸网络使用普遍。据估计,这些僵尸网络比基于物联网的僵尸网络强大 5000 倍。只有 Drei (AS200373) 和 ChinaNet Backbone (AS4134) 主要是 ISP 或电信运营商,没有重要的的公共虚拟机/云产品。
基于物联网的僵尸网络 vs 基于虚拟机的僵尸网络
为了帮助托管服务提供商、云计算提供商和任何互联网服务提供商识别并关闭发起这些攻击的滥用帐户,我们利用 Cloudflare 的独特优势,向服务提供商提供免费的 DDoS 僵尸网络威胁数据源 。全球已有 600 多家机构注册使用该情报源,我们已见证整个行业社区通过密切协作成功封禁了大量僵尸网络节点。这得益于该威胁情报源为这些服务提供商提供了一份违规 IP 地址列表——我们监测到在 ASN 内部发起 HTTP DDoS 攻击的地址。这个数据源完全免费,仅需注册一个免费的 Cloudflare 帐户,通过 PeeringDB 验证 ASN,然后通过 API 获取威胁情报。
通过一个简单的 API 调用,服务提供商即可获取其网络内的违规 IP 地址列表。下面提供了一个示例响应。
{
"result": [
{
"cidr": "127.0.0.1/32",
"date": "2024-05-05T00:00:00Z",
"offense_count": 10000
},
// ... other entries ...
],
"success": true,
"errors": [],
"messages": []
}
免费互联网服务提供商 DDoS 僵尸网络威胁源 API 的示例响应
在 2025 年第二季度,大部分(71%)HTTP DDoS 攻击由已知僵尸网络发起。由于我们运营着一个庞大的网络,并且见识过许多不同类型的攻击和僵尸网络,因此能够快速检测并阻止这些攻击。通过利用实时威胁情报,我们的系统能够快速识别 DDoS 僵尸网络,从而有助于更有效地进行缓解。即使 DDoS 僵尸网络仅针对一个网站或 IP 地址进行攻击,我们的整个网络和客户群也会立即受到保护。这个实时威胁情报系统会随着僵尸网络的变异和节点改变而自适应调整。
2025 年第二季度 HTTP DDoS 攻击的主要手段
在 2025 年第二季度,DNS 洪水攻击是最常见的 L3/4 攻击手段,占所有 L3/4 DDoS 攻击的近三分之一。SYN 洪水是第二大最常见的攻击手段,从第一季度的 31%下降到第二季度的 27%。
在第三位,UDP 洪水攻击,占比从第一季度的 9% 上升到第二季度的 13%。RST 洪水是另一种基于 TCP 的 DDoS 攻击形式,占所有 L3/4 攻击的 5%,是第四大最常见的攻击手段。前五位的最后一位是 SSDP 洪水,占比 3%,尽管较上一季度的 4.3% 有所下降,但仍足以将此前盛行的 Mirai 攻击(从第一季度的 18% 降至第二季度的仅 2%)挤出前五。
2025 年第二季度最常见的 L3/4 DDoS 攻击手段
以下是关于三种最常见 L3/4 层 DDoS 攻击的详细信息。我们为您提供相关建议,包括组织应如何避免成为反射与放大攻击的载体,以及如何在防御此类攻击的同时避免对合法流量造成影响。Cloudflare 的客户均受到保护,免受这些攻击影响。
DNS 洪水攻击
类型:洪水
工作方式:DNS 洪水旨在使用大量的 DNS 查询(可能是合法、随机或格式错误的查询)压垮 DNS 服务器,耗尽 CPU、内存或带宽。与放大攻击不同,这是直接的洪水攻击,旨在降低性能或造成中断,通常通过 UDP 端口 53,但有时也通过 TCP(特别是对于启用了 DNS-over-TCP 或 DNSSEC 的区域)。
如何防御:使用 Cloudflare DNS 作为主要或辅助 DNS,Cloudflare DNS 防火墙 和/或 Cloudflare Magic Transit,在查询洪水到达您的源站之前吸收和缓解。Cloudflare 的全球网络每秒处理数千万次 DNS 查询,内置的 DDoS 过滤和查询缓存功能可阻止格式错误或过多的流量,同时响应合法请求。
如何避免意外影响:避免阻止所有 DNS 流量或禁用 UDP 53 端口,此类操作会破坏正常解析。依靠 Cloudflare 的 DNS 专用保护,例如 Advanced DNS Protection 系统,并部署支持 DNSSEC 的保护措施,以安全地处理基于 TCP 的查询洪水。
SYN 洪水攻击
类型:洪水
工作方式:在 SYN 洪水中,威胁行为者发送大量的 TCP SYN 数据包——通常带有伪造的 IP 地址——以发起永远不会完成的连接。这会导致目标系统出现半开连接,消耗内存和连接跟踪资源,可能耗尽服务器可用资源,并阻止真正的客户端建立连接。
如何防御:使用 Cloudflare Magic Transit 在边缘拦截和缓解 TCP SYN 洪水攻击。Cloudflare 利用 SYN cookie、连接跟踪和行为分析来区分真实客户端与伪造或恶意来源,确保合法的 TCP 连接成功完成。使用 Cloudflare 的 CDN/WAF 服务或 Cloudflare Spectrum,它们分别是 HTTP 或 TCP 的反向代理服务。使用反向代理基本上可以消除基于 TCP 的 DDoS 攻击的可能影响。
如何避免意外影响:阻止所有 SYN 流量或应用过于严苛的超时设置,可能拦截真实用户。相反,您可以依靠 Cloudflare 的高级 TCP 保护系统,该系统使用 SYN 速率整形、异常检测和伪造数据包过滤来缓解攻击,而不会影响真正的客户端连接。
UDP DDoS 攻击
在 2025 年第二季度新出现的 L3/4 DDoS 威胁中, Teeworlds 洪水增幅最大,环比增长 385%,其次是 RIPv1 洪水攻击 ,同比增长了 296%。RDP 洪水 增长了 173%, Demon Bot 洪水 增长了 149%。甚至是古老的 VxWorks 洪水攻击也卷土重来,季度环比增长了 71%。这些显著的增长表明,威胁行为者仍在不断尝试利用鲜为人知的协议和遗留协议来规避标准防御措施。
2025 年第二季度主要新兴威胁
以下是 2025 年第二季度新兴威胁的详细信息,其中大部分重新利用非常古老的攻击手段。我们为您提供相关建议,包括组织应如何避免成为反射与放大攻击的载体,以及如何在防御此类攻击的同时避免对合法流量造成影响。Cloudflare 的客户均受到保护,免受这些攻击影响。
Teeworlds DDoS 攻击
类型:洪水
工作方式:Teeworlds 是一款快节奏、开源的 2D 多人射击游戏,使用基于 UDP 的自定义协议来进行实时游玩。威胁行为者通过伪造或过多的 UDP 数据包淹没目标的游戏服务器,这些数据包模仿游戏内的操作或连接尝试。这可能会使服务器资源不堪重负,并导致延迟或中断。
如何抵御:使用 Cloudflare Spectrum 或 Cloudflare Magic Transit 来保护服务器。Cloudflare 自动使用实时指纹识别检测并缓解这些类型的攻击,阻止攻击流量,同时允许真实玩家通过。Magic Transit 还提供数据包级防火墙功能,即 Magic Firewall,可用于设置自定义保护。
如何避免意外影响:在编写自定义规则时,避免直接封禁或过于严苛地限制 UDP 端口 8303 的速率,因为这会破坏整体游戏体验。相反,依靠智能检测和缓解服务以避免影响合法用户。
Teeworlds 丛林场景截图。来源:Wikipedia
RIPv1 DDoS 攻击
类型:反射 +(低)放大
工作方式:利用路由信息协议第一版(RIPv1),这是一种老旧的、无身份验证的距离矢量路由协议,使用 UDP/520。威胁行为者发送伪造的路由更新以淹没或混淆网络。
如何防止成为反射/放大元素:在路由器上禁用 RIPv1。在需要路由的情况下使用带有身份验证的 RIPv2。
如何防御:阻止来自不受信任网络的入站 UDP/520。监控意外的路由更新。
如何避免意外影响:RIPv1 已基本淘汰,禁用该协议通常是安全的。如果旧版系统依赖于该协议,请在更改之前验证路由行为。
RDP DDoS 攻击
DemonBot DDoS 攻击
类型:基于僵尸网络的洪水
工作方式:DemonBot 是一种恶意软件,通过开放端口或弱凭据感染基于 Linux 的系统,尤其是不安全的 IoT 设备。一旦感染,设备就会成为僵尸网络的一部分,可以发起大规模的 UDP、TCP 和应用层洪水攻击。攻击通常由命令与控制(C2)驱动,并可产生巨大流量,通常针对游戏、托管或企业服务。为了避免感染,请使用防病毒软件和域过滤功能。
如何防御:使用 Cloudflare Magic Transit 吸收和过滤大规模网络层攻击,以防止其到达您的基础设施。Cloudflare 的实时流量分析和基于特征码的检测化解了源于受 DemonBot 感染设备的流量。对于应用层服务,Cloudflare DDoS 防护和 WAF可以缓解针对性的 HTTP 洪水和连接滥用。
如何避免意外影响:借助 Cloudflare 的自适应缓解来区分合法用户和僵尸网络流量,而不是广泛阻止流量类型或端口。结合 IP 信誉过滤、地理封锁和速率限制,以减少误报并维持服务可用性。
VxWorks 洪水 DDoS 攻击
类型:洪水(基于 IoT)
工作方式: VxWorks 是一款实时操作系统(RTOS),在数百万个嵌入式和 IoT 设备(例如路由器、工业控制器)中使用。运行过时或配置错误的 VxWorks 版本的设备可能会被入侵,进而被用于发起 DDoS 攻击。一旦被感染(通常通过公共漏洞利用或弱凭据),这些设备将发送大量的 UDP、TCP 或 ICMP 流量来压垮目标,类似于传统 IoT 僵尸网络的行为。
如何抵御:部署Cloudflare Magic Transit,在网络边缘阻止这些庞大流量。Cloudflare 使用实时指纹识别和专有启发式算法来识别源于受入侵 VxWorks 设备的流量,并进行实时缓解。对于应用服务,Cloudflare 的 DDoS 缓解和 Gateway 服务提供针对协议级滥用的额外保护。
如何避免意外影响:避免过度阻止 UDP 或 ICMP 流量,因为这可能会中断合法的诊断或实时服务。相反,使用 Cloudflare 的智能过滤、速率限制和地理/IP 信誉工具来安全地缓解攻击,同时避免对合法流量的影响。
Cloudflare 的实时指纹生成流程
大多数 DDoS 攻击规模小且持续时间短。2025 年第二季度,94% 的 L3/4 DDoS 攻击未超过 500 Mbps。同样,大约 85% 的 L3/4 DDoS 攻击未超过 5 万 pps。大多数 HTTP DDoS 攻击规模也不大,65% 的攻击低于每秒 5 万 rps。不过,“小”是相对而言的。
普通现代服务器通常指一款通用型物理机或虚拟机,配备约 4–8 个 CPU 核心(例如英特尔至强 Silver 系列)、16–64 GB 内存和 1 Gbps 网卡,运行 Ubuntu 或 CentOS 等 Linux 操作系统,并搭载 NGINX 或类似软件。这种配置通常可处理约 10-50 万 pps 的数据包,吞吐量最高约达 940 Mbps,在静态内容场景下能支持约 1-10 万 rps,在数据库支持的动态应用场景下则为 500–1000 rps(具体取决于调优情况和工作负载)。
假设您的服务器未部署云 DDoS 防护服务,那么在流量峰值期间若遭遇 “小规模” DDoS 攻击,服务器很可能无法应对。即使是“小规模”DDoS 攻击也可能对未受保护的服务器造成重大影响。
2025 年第二季度 DDoS 攻击规模和持续时间
虽然大多数 DDoS 攻击规模较小,但超大规模 DDoS 攻击的规模和频率正在增加。每 100 次 HTTP DDoS 攻击中,有 6 次超过 100 万 rps,而每 1 万次 L3/4 DDoS 攻击中,有 5 次超过 1 Tbps,环比增长 1150%。
全球最大攻击:7.3 Tbps
大多数 DDoS 攻击的持续时间都较短,即便是规模最大、强度最高的攻击也是如此。威胁行为者常常依靠集中流量的短暂爆发(有时持续短至 45 秒,例如这场规模惊人的 7.3 Tbps DDoS 攻击),旨在逃避检测,压垮目标,并在防御措施完全启动之前造成最大程度的破坏。这种短时间、高强度爆发的策略,使得检测和缓解工作更具挑战性,同时也凸显了对始终开启的实时防护的需求。值得庆幸的是,Cloudflare 的自主 DDoS 防御系统会立即启动。
在 Cloudflare,我们致力于帮助构建更好的互联网。该使命的一部分是提供免费、不计量的 DDoS 防护,无论攻击的规模、持续时间和数量如何。我们不仅仅防御 DDoS 攻击。最佳的防御是有力的进攻,通过我们免费的 ISP 僵尸网络威胁情报源,我们助力僵尸网络的清除工作。
虽然许多人仍然被动地采取保护措施或依赖过时的解决方案,但我们的数据表明,始终启用的主动安全措施要有效得多。依托覆盖 330 多个城市、总容量达 388 Tbps 的全球网络,我们为提供自动化、内联且经实战验证的全方位 DDoS 攻击防御。