歡迎閱讀第 23 期《Cloudflare 季度 DDoS 威脅報告》。本報告根據來自Cloudflare 網路的資料,對不斷演變的分散式阻斷服務 (DDoS) 攻擊威脅情勢提供深入分析。在本期中,我們聚焦於 2025 年的第三季。
2025 年第三季的主角無疑是 Aisuru 殭屍網路,其掌控著全球約 100 萬至 400 萬台受感染主機所組成的龐大陣容。Aisuru 發動了超流量的 DDoS 攻擊,流量經常超過每秒 1 兆位元 (Tbps),封包量則突破每秒 10 億個 (Tbps)。這類攻擊的次數較上一季激增 54%,平均每天出現 14 次超流量攻擊。其規模前所未見,最高峰時達到 29.7 Tbps 與 14.1 Bpps。
除 Aisuru 外,本報告中的其他主要見解包括:
2025 年 9 月,隨著公眾對 AI 的關注和監管審查增加,針對 AI 公司的 DDoS 攻擊流量較上月激增了 347%。
隨著歐盟與中國在稀土礦物及電動車關稅方面的貿易緊張局勢持續升高,2025 年第三季針對採礦、礦物與金屬產業以及汽車產業的 DDoS 攻擊也出現明顯增加。
整體而言,在 2025 年第三季,Cloudflare 的自動防禦系統共攔截了 830 萬次 DDoS 攻擊,相當於平均每小時近 3780 次。DDoS 攻擊數量較上一季成長 15%,較去年同期則大幅上升 40%。
截至 2025 年目前(年內尚餘一個季度),Cloudflare 已緩解 3620 萬次 DDoS 攻擊,相當於 2024 年全年緩解總量的 170%。
2025 年第三季,Cloudflare 自動偵測並緩解了 830 萬次 DDoS 攻擊,較上一季增長 15%,較去年同期增長 40%。
網路層 DDoS 攻擊佔 2025 年第三季所有 DDoS 攻擊的 71%,共計 590 萬次,較上一季增長了 87%,較去年同期增長了 95%。然而,HTTP DDoS 攻擊僅佔 2025 年第三季所有 DDoS 攻擊的 29%,共計 240 萬次,較上一季下降了 41%,較去年同期也減少了 17%。
2025 年第三季,Cloudflare 平均每小時緩解 3780 次 DDoS 攻擊。
Aisuru 利用超複雜、超流量 DDoS 攻擊打破記錄
破壞性力量
Aisuru 以電信業者、遊戲公司、代管服務服務商,以及金融服務業等為目標(僅舉數例)。正如 Krebs on Security 所報告的那樣,由於大量殭屍網路流量透過網際網路服務提供者 (ISP) 路由,Aisuru 也造成了「[美國]大範圍的附帶網際網路中斷」。
仔細想想。如果 Aisuru 的攻擊流量在那些網際網路服務提供者甚至不是攻擊目標的情況下,就能造成美國部分網際網路基礎架構的中斷,那麼想像一下,當它直接瞄準缺乏保護或防護不足的 ISP、關鍵基礎架構、醫療保健服務、緊急救援服務,以及軍事系統時,又會造成什麼樣的後果。
殭屍網路租賃服務和 DDoS 統計資料
經銷商將 Aisuru 的「片段」作為殭屍網路出租,因此任何人只要花費幾百到幾千美元,就有可能使骨幹網路癱瘓、使網際網路連線飽和,進而造成整個國家的混亂,打斷數百萬使用者的網路使用,並妨礙他們存取基本服務。
自 2025 年初以來,Cloudflare 已成功緩解了 2867 次 Aisuru 攻擊。光是第三季,Cloudflare 就緩解了 1304 次 Aisuru 發動的超流量攻擊,季增 54%。這些攻擊包括打破世界紀錄的 29.7 Tbps DDoS 攻擊和 14.1 Bpps DDoS 攻擊。
這次 29.7 Tbps 的攻擊是一種 UDP 地毯式轟炸攻擊,平均每秒對 1.5 萬個目的地連接埠進行轟炸。該分散式攻擊隨機變化各種封包屬性,試圖規避防禦措施,但 Cloudflare 的抵禦系統偵測並完全自主地緩解了所有攻擊,包括這一次。閱讀《Cloudflare 如何緩解超流量 DDoS 攻擊》,瞭解更多資訊。
雖然大多數 DDoS 攻擊的規模相對較小,但在第三季,超過每秒 1 億個封包 (Mpps) 的 DDoS 攻擊數量較上一季增加了 189%。同樣地,超過 1 Tbps 的攻擊也較上一季成長了 227%。在 HTTP 層級方面,每 100 次攻擊中就有 4 次超過每秒 100 萬次請求。
此外,多數攻擊(71% 的 HTTP DDoS 與 89% 的網路層攻擊)都在 10 分鐘內結束。這樣的時間太短,人員或按需防禦服務根本無法即時反應。一次短暫的攻擊可能只持續幾秒鐘,但它造成的干擾卻可能非常嚴重,而且恢復所需的時間遠比攻擊本身長得多。工程與營運團隊往往必須執行複雜且多步驟的流程,才能讓關鍵系統重新上線、檢查分散式系統間的資料一致性,並繼續為客戶提供安全可靠的服務。
無論是否為超流量攻擊,短時間 DDoS 攻擊的影響往往會延伸到攻擊持續時間之外,造成長遠影響。
在十大攻擊來源地中,有七個位於亞洲地區,其中印尼位居首位。印尼是全球最大的 DDoS 攻擊來源,自 2024 年第三季起已蟬聯世界第一長達整整一年。而在這之前,印尼也一直名列攻擊來源榜單前列。例如,在 2024 年第二季,印尼是第二大攻擊來源,而在此之前幾季與幾年,它的排名還曾更低,之後才逐步攀升至前兩名。
若以數據說明印尼作為 DDoS 攻擊樞紐的崛起速度,光是在五年內(自 2021 年第三季至今),源自印尼的 HTTP DDoS 攻擊請求占比便暴增了驚人的 31,900%。
DDoS 攻擊者瞄準稀土礦物
根據多家新聞媒體報道,2025 年第三季,針對採礦、礦產和金屬產業的 DDoS 攻擊顯著增加,其原因是第 25 屆歐盟-中國貿易高峰會期間,雙方在電動車關稅、稀土出口和網路安全問題上的緊張局勢加劇。英國廣播公司 (BBC) 報道稱,「中國也提高了對稀土和關鍵礦產的出口管制。」總體而言,採礦、礦產和金屬產業在全球排名中躍升 24 位,成為全球第 49 大受攻擊產業。
汽車產業的 DDoS 攻擊增幅最為顯著,單季排名躍升 62 個位置,成為全球第六大受攻擊產業。網路安全公司的 DDoS 攻擊也明顯增加,網路安全產業排名上升 17 個名次,成為全球第 13 大受攻擊產業。
針對 AI 的 DDoS 攻擊激增了 347%
2025 年 9 月,Tony Blair Institute 的一項民意調查顯示,英國民眾普遍將 AI 視為經濟風險而非機會,引發大量關於自動化與信任的頭條新聞。英國法律委員會亦啟動對政府使用 AI 的審查,使該月成為 AI 倫理、法規及生成式 AI 採用的焦點時刻。同月,Cloudflare 也觀察到針對生成式 AI 公司的 HTTP DDoS 攻擊流量出現高達 347% 的月增幅度(以領先的生成式 AI 服務為樣本)。
前十名產業
在 2025 年第三季,資訊科技與服務業位居榜首,成為受攻擊最多的產業,其次為電信業,以及博彩與賭場業。值得注意的是,汽車產業單季排名大幅躍升 62 個名次。媒體、製作與出版業也出現急遽上升,排在其之前的則有銀行與金融服務業、零售業,以及消費性電子產業。
地緣政治事件與 DDoS 攻擊活動之間存在直接關聯。
停止掠奪!
馬爾地夫語的「Lootuvaifi」(意即「停止掠奪!」)成為 2025 年馬爾地夫抗議活動中的集會口號。抗議群眾走上街頭,反對「被認為存在的政府腐敗與民主倒退」,並在「終結言論自由」的媒體法案通過時達到高峰。聯合國人權事務高級專員表示,「若該法案未被撤回,將嚴重削弱馬爾地夫人民的媒體自由與表達自由權利」。2025 年的馬爾地夫抗議伴隨著大量 DDoS 攻擊。相對應地,馬爾地夫也是 DDoS 攻擊增幅最高的國家。在 2025 年第三季,馬爾地夫排名躍升 125 個名次,成為全球第 38 大受攻擊國家。
「封鎖一切」
全國性抗議運動「Block Everything」(封鎖一切),在法文中稱為「Bloquons Tout」,由法國工會於 2025 年 9 月發起,以反對總統馬克宏政府的新緊縮措施、退休金制度改革及生活成本上升。工會呼籲發動協調罷工與交通封鎖,企圖癱瘓全國運作;與此同時,網路威脅行為者對法國網站與網際網路服務發動了多輪 DDoS 攻擊。法國排名較上一季上升 65 個名次,成為全球第 18 大受攻擊國家。
「在布魯塞爾為加薩劃下紅線」
其他國家的抗議活動也伴隨著 DDoS 攻擊的增加。例如,比利時排名上升 63 個位置,成為全球第 74 大受攻擊國家,起因是「數萬名抗議者在布魯塞爾為加薩劃下紅線」。
前十名產業
在 2025 年第三季,中國依然是全球受攻擊最多的國家,土耳其位居第二,德國位居第三。本季最顯著的變化是美國遭受的 DDoS 攻擊增加,排名躍升 11 個名次,成為第五大受攻擊國家。菲律賓在前十名中增幅最大,排名上升了 20 個位置。
網路層 DDoS 攻擊
UDP DDoS 攻擊數量較上一季增加了 231%(部分由 Aisuru 攻擊推動),成為網路層最主要的攻擊手段。DNS 洪水攻擊位居第二,SYN 洪水攻擊第三,ICMP 洪水攻擊第四——這四類合計占所有網路層 DDoS 攻擊略超過一半的比例。
儘管自首次以來已經過去將近十年,Mirai DDoS 攻擊仍然相當普遍。每 100 次網路層 DDoS 攻擊中,幾乎有 2 次是由 Mirai 殭屍網路的各種變體發起的。
HTTP DDoS 攻擊
近 70% 的 HTTP DDoS 攻擊來自 Cloudflare 早已掌握的已知殭屍網路。這體現了客戶使用 Cloudflare 服務所能獲得的優勢之一。一旦某個殭屍網路攻擊了 Cloudflare 數百萬客戶中的任意一個,所有客戶便會自動受到針對該殭屍網路的防護。
另有約 20% 的 HTTP DDoS 攻擊來自偽造或無頭瀏覽器,或是包含可疑 HTTP 屬性的請求。剩餘約 10% 則混合了一般洪水攻擊、異常請求、快取繞過攻擊,以及針對登入端點的攻擊。
我們已進入一個 DDoS 攻擊在精密程度與規模上都迅速成長的時代——其發展程度遠超過我們幾年前的想象。許多組織在應對不斷演變的威脅情況方面面臨著挑戰。
考慮到當前的威脅形勢,依賴內部部署緩解設備或按需清除中心解決方案的組織可能需要重新審視其防禦策略。
Cloudflare 擁有龐大的全球網路與自主化的 DDoS 緩解系統,致力於為所有客戶提供免費且不計量的 DDoS 防護,不論他們面對的 DDoS 攻擊規模、持續時間或數量如何。