歡迎閱讀第 21 版 Cloudflare DDoS 威脅報告。本報告每季發布一次,基於 Cloudflare 網路的資料,對分散式阻斷服務 (DDoS) 攻擊不斷演變的威脅情勢進行了全面分析。在本版中,我們將關注 2025 年第一季度。若要檢視之前的報告,請造訪 www.ddosreport.com。
雖然本報告主要關注 2025 年第一季度,但亦包括 2025 年 4 月觀察到的超流量 DDoS 攻擊活動的最新資料,其中包括一些有史以來公開披露的最大型攻擊。在歷來的攻擊活動激增中,我們封鎖了有記錄以來最劇烈的封包速率攻擊,峰值達到每秒 48 億封包 (Bpps),較之前基準高出 52%,並單獨防禦了每秒 6.5 TB ( Tbps) 的大規模洪水攻擊,這是有史以來報告的最高頻寬攻擊。
2025 年第一季,Cloudflare 封鎖了 2,050 萬次 DDoS 攻擊。這表示,較去年同比 (YoY) 增長 358%,較上一季度環比 (QoQ) 增長 198%。
作為持續 18 天的多媒介攻擊活動的一部分,其中約三分之一(即 660 萬)直接針對 Cloudflare 網路基礎架構。
此外,在 2025 年第一季,Cloudflare 封鎖了約 700 起超過 1 Tbps 或 1 Bpps 的超流量 DDoS 攻擊,平均每天約 8 起攻擊。
我們的自主防禦封鎖了所有攻擊。
若要進一步瞭解 DDoS 攻擊和其他類型網路威脅的相關資訊,請參閱我們的學習中心。請造訪 Cloudflare Radar,檢視這份報告的互動版本,您可在其中進一步深入剖析。若有興趣調查網際網路趨勢,我們提供了免費 API 可供使用。您還可進一步瞭解準備這些報告所使用的方法。
2025 年第一季,我們封鎖了 2,050 萬次 DDoS 攻擊。相較之下,在 2024 日曆年,我們封鎖了 2,130 萬次 DDoS 攻擊。就在上個季度,我們封鎖的內容已達到 2024 年封鎖內容的 96%。
最顯著的增長是網路層 DDoS 攻擊。2025 年第一季,我們封鎖了 1,680 萬次網路層 DDoS 攻擊。較上一季度環比增長 397%,較去年同比增長 509%。HTTP DDoS 攻擊亦有所增加,較上一季度環比增長 7%,較去年同比增長 118%。
我們依據系統產生的唯一即時指紋來統計 DDoS 攻擊。在某些情況下,單一攻擊或攻擊活動可能會產生多個指紋,在套用不同的緩解策略時尤其如此。雖然這偶爾會導致計數增加,但該指標提供了指定期間內攻擊活動的強大整體指標。
攻擊以 Cloudflare 網路和網際網路基礎架構為目標
在第一季度封鎖的 2,050 萬次 DDoS 攻擊中,有 1,680 萬次為網路層 DDoS 攻擊,其中有 660 萬次直接針對 Cloudflare 的網路基礎架構。另外還有 690 萬次攻擊針對受 Cloudflare 保護的託管提供者和服務提供者。
這些攻擊是持續 18 天的多媒介 DDoS 攻擊活動的一部分,其中包括 SYN 洪水攻擊、產生 Mirai 的 DDoS 攻擊和 SSDP 放大攻擊,等等。與所有 2,050 萬次攻擊一樣,我們的 DDoS 防禦系統自主偵測並封鎖了這些攻擊。
在下面的圖表中,針對 Cloudflare 的每日攻擊彙總用藍色線條表示,其他顏色則表示使用 Cloudflare 的 Magic Transit 服務,同時受到攻擊的各個託管提供者和網際網路服務提供者。
超流量 DDoS 攻擊是指超過 1-2 Tbps 或 1 Bpps 的攻擊。在 2025 年第一季度,我們封鎖了 700 多次此類攻擊。每 100,000 次網路層 DDoS 攻擊中,約有 4 次是超流量攻擊。超流量 DDoS 攻擊往往透過 UDP 進行。
雖然本報告主要關注 2025 年第一季度,但我們認為,還必須強調持續至第二季度的重大超流量、破紀錄的 DDoS 攻擊。因此,我們納入了該攻擊活動的初步深入解析。
2025 年 4 月下旬,Cloudflare 的系統自動偵測並封鎖了數十次超流量 DDoS 攻擊,這是一場激烈攻擊活動的一部分。最大的攻擊峰值分別為 4.8 Bpps 和 6.5 Tbps,這些大規模攻擊通常持續 35 至 45 秒。這次攻擊的流量為 6.5 Tbps,堪稱迄今為止公開披露的最大規模 DDoS 攻擊。從封包強度角度來看,4.8 Bpps 的攻擊是有史以來披露的最大型攻擊,相較於之前 3.15 Bpps 的攻擊記錄,規模約增加 52%。
這些攻擊源自 147 個國家/地區,針對受 Cloudflare Magic Transit 保護的託管提供者的多個 IP 位址和連接埠。Cloudflare 的網路成功封鎖了所有攻擊。
在調查遭受 DDoS 攻擊的 Cloudflare 客戶時,大多數客戶表示不知道是誰攻擊了他們。知情者反映,其競爭對手是攻擊背後的頭號威脅行為者 (39%),與上一季度類似。這在遊戲和博彩產業中相當普遍。
另有 17% 的受訪者表示,攻擊是由國家級或國家支援的威脅執行者發起的。還有差不多比例的受訪者表示,心懷不滿的使用者或客戶是攻擊的幕後黑手。
另有 11% 的受訪者反映,他們錯誤地對自己進行了 DDoS 攻擊(自我 DDoS 攻擊),而類似的百分比顯示,勒索者是攻擊的幕後黑手。6% 的受訪者反映,這些攻擊由心懷不滿者或前員工發起。
在網路層,SYN 洪水攻擊仍是最常見的第 3/4 層 DDoS 攻擊手段,其次是 DNS 洪水攻擊。位列第三的是 Mirai 發起的 DDoS 攻擊,取代了 UDP 洪水攻擊。
在 HTTP 領域,識別並封鎖的攻擊中,超過 60% 為已知殭屍網路,21% 是具有可疑 HTTP 屬性的攻擊,另有 10% 由冒充瀏覽器的殭屍網路發起,其餘 8% 為一般洪水攻擊、不尋常的攻擊請求模式,以及快取破壞攻擊。
2025 年第一季度,CLDAP 反射/放大攻擊較上一季度環比增長了 3,488%。CLDAP(無連線輕量級目錄存取通訊協定)是 LDAP(輕量級目錄存取通訊協定)的一種變體,用於查詢和修改在 IP 網路上執行的目錄服務。CLDAP 是無連線的,使用 UDP 而不是 TCP,使其更快但可靠性較低。因為這種通訊協定使用 UDP,不需要交握,這讓攻擊者可以偽造 IP 位址,將其作為反射手段。這些攻擊傳送帶有偽造來源 IP 位址(受害者的 IP)的小查詢,導致伺服器向受害者傳送大量回應,使後者不堪重負。緩解措施包括篩选和監控異常的 CLDAP 流量。
此外,ESP 反射/放大攻擊較前一季度環比增長 2,301%。ESP(封裝安全性負載)通訊協定是 IPsec 的一部分,可為網路通訊提供機密性、驗證和完整性。然而,如果惡意執行者利用設定錯誤或易受攻擊的系統來反射或放大流向目標的流量,則該通訊協定可能會在 DDoS 攻擊中被濫用,從而導致服務中斷。與其他通訊協定一樣,保護和正確設定使用 ESP 的系統對於封鎖 DDoS 攻擊的風險至關重要。
儘管超流量攻擊有所增加,但大多數 DDoS 攻擊規模較小。在 2025 年第一季,99% 的第 3/4 層 DDoS 攻擊的速率低於 1 Gbps 和 1 Mpps。同樣,94% 的 HTTP DDoS 攻擊為每秒 100 萬個請求 (rps)。然而,「小型」是一個相對術語,大多數網際網路資產甚至無法承受這些小型攻擊。這些攻擊可輕鬆地使未受保護的網際網路連結飽和,並使未受保護的伺服器崩潰。
此外,大多數攻擊持續時間很短。89% 的第 3/4 層 DDoS 攻擊和 75% 的 HTTP DDoS 攻擊會在 10 分鐘內結束。即使是規模最大、破紀錄、超流量的 DDoS 攻擊,持續時間也可能非常短,例如上面範例中的 35 秒攻擊。35 秒甚至 10 分鐘的時間不足以採用手動緩解或啟用隨需解決方案:安全分析師收到警示並分析攻擊時,一切都已經結束了。雖然攻擊可能非常短暫,但攻擊的涓流效應會導致網路和應用程式故障,並可能需要數日才能恢復,而所有這些都是在服務關閉或降級的情況下進行的。目前的威脅狀況已沒有時間進行人工干預。偵測和緩解應永遠開啟、內嵌且自動化,並且具有足夠的處理能力和全球覆蓋範圍,能夠處理攻擊流量以及合法的尖峰時間流量。
另一方面,超過 1 Mrps 的超流量 HTTP DDoS 攻擊,其份額翻了一倍。2025 年第一季,每 100 次 HTTP DDoS攻擊中有 6 次超過 1 Mrps。在網路層,每 10 萬次攻擊中有 1 次超過 1 Tbps 或 1 Bpps。
此類攻擊的一個範例是針對 Cloudflare Magic Transit 客戶的攻擊。客戶本身是一家美國託管提供者,提供 Web 伺服器、VoIP 伺服器和遊戲伺服器等解決方案。此特定攻擊的目標是連接埠 27015。此連接埠最常與多人遊戲伺服器關聯,尤其是 Vale 的來源引擎遊戲,例如,Counter-Strike: Global Offensive (CS:GO)、Team Fortress 2、Garry's Mod、Left 4 Dead 和 Half-Life 2: Deathmatch。
該連接埠用於遊戲伺服器連線,讓用戶端能夠連線至伺服器以進行線上游戲。在許多情況下,此連接埠同時開啟 UDP 和 TCP,具體取決於遊戲及其進行的通訊類型。此遊戲客戶遭受多次超流量攻擊,這些攻擊均由 Cloudflare 自主封鎖。
2025 年第一季度,全球遭受攻擊最多的前 10 個地點發生了重大變化。德國躍升顯著,攀升了四位,成為遭受攻擊最多的國家。位列第二的土耳其也激增了 11 位。另一方面,位列第三的中國內地比上一季下降了兩位,而香港則保持不變。印度上升了四位,巴西保持不變。台灣地區下降了四位。菲律賓的降幅最大,下降了 6 位。然而,韓國和印尼的排名均上升了兩位。
2025 年第一季度遭受攻擊最多的前 10 個產業發生了一些顯著變化。博彩業上升了四位,成為遭受攻擊最多的產業,而電信、服務提供者和電信業則下滑了一位。資訊技術和服務以及網際網路產業波動幅度較小,分別上升了一位和下降了兩位。遊戲以及銀行和金融服務產業的排名均上升了一位,而網路安全產業的排名較上一季大幅躍升了 37 位。零售業的排名略有下降,而製造業、機械、技術和工程產業的排名則激增了 28 位。航空、航天和太空產業的漲幅最大,上升了 40 位,在最受攻擊的產業中位列第十。
2025 年第一季度前 10 大 DDoS 攻擊來源的排名也發生了顯著變化。中國香港飆升至第一位,與上一季相比攀升了三位。印尼下降至第二位,而阿根廷上升了兩位,位列第三。新加坡下降了兩位,位列第四;烏克蘭下降了一位,位列第五。巴西的躍進十分驚人,攀升了七位,位列第六;泰國緊隨其後,也上升了七位,位列第七。德國也有所上升,上升了兩位至第八。越南的排名上升最為顯著,上升了 15 位,位列第九;保加利亞則下降兩位,位列第十。
ASN(自治號碼)是指派給網路或 IP 網路群組的唯一識別碼,這些網路依據網際網路上的單一路由原則運作。其用於在使用 BGP(邊界閘道通訊協定)等通訊協定的系統之間交換路由資訊。
當查看 DDoS 攻擊(特別是 HTTP DDoS 攻擊)的來源時,有幾個自發系統特別顯眼。2025 年第一季度,總部位於德國的 Hetzner (AS24940) 繼續成為最大的 HTTP DDoS 攻擊來源。總部位於法國的 OVH (AS16276) 位列第二,總部位於美國的 DigitalOcean (AS14061) 位列第三,而總部位於德國的提供者 Contabo (AS51167) 位列第四。
其他主要來源包括總部位於中國的 ChinaNet Backbone (AS4134) 和 Tencent (AS132203)、總部位於奧地利的 Drei (AS200373),以及總部位於美國的三家提供者(即將進入前十榜單)— Microsoft (AS8075)、Oracle (AS31898) 和 Google Cloud Platform (AS396982)。此排名中的大多數網路都是知名的雲端運算或託管提供者,重點關注雲端基礎架構是如何被頻繁利用(無論是有意還是透過入侵)來發起 DDoS 攻擊的。
為了協助託管提供者、雲端運算提供者和任何網際網路服務提供者識別並摧毀發動這些攻擊的濫用帳戶,我們善用 Cloudflare 的獨特優勢,為服務提供者提供免費的 DDoS 殭屍網路威脅摘要。全球已有 600 多個組織註冊獲取此摘要。摘要為服務提供者提供了其 ASN 內有問題的 IP 位址清單,我們注意到這些位址正在發起 HTTP DDoS 攻擊。摘要完全免費,只需開設一個免費的 Cloudflare 帳戶,透過 PeeringDB 驗證 ASN,然後即可透過 API 擷取威脅情報。
Cloudflare 的使命是協助打造更好的網際網路。該承諾的一個關鍵部分是免費提供 DDoS 攻擊防護,以及透過提供免費工具,來協助進行其他網路偵測,以及拆除在其基礎架構內運作的殭屍網路,從而為更廣泛的網際網路社群提供支援。
隨著威脅情勢不斷演變,我們看到許多組織仍然只在遭遇攻擊後才採用 DDoS 防護,或依賴過時的隨需解決方案。相較之下,我們的資料顯示,那些採用主動安全性策略的企業的複原能力要強得多。正因為如此,我們專注於自動化和全面、永遠啟用的內嵌式安全性方法,以提前應對現有和新興威脅。
憑藉我們遍布 335 座城市、容量高達 348 Tbps 的全球網路,我們將繼續致力於提供非計量、無限制的 DDoS 防護,無論攻擊的規模、持續時間或頻率如何。