歡迎閱讀第 22 版 Cloudflare DDoS 威脅報告。本報告每季發布一次,基於 Cloudflare 網路的資料,對分散式阻斷服務 (DDoS) 攻擊不斷演變的威脅情勢進行了全面分析。在本版中,我們將關注 2025 年第二季。若要檢視之前的報告,請造訪 www.ddosreport.com。
在 2025 年第二季,6 月是 DDoS 攻擊最頻繁的月份,占所有觀察到的活動的近 38%。一個值得注意的目標是一家 Cloudflare 提供保護的東歐獨立新聞媒體,該媒體在 LGBTQ 驕傲月期間報導當地驕傲遊行後遭到攻擊。
DDoS 攻擊持續打破紀錄。在 2025 年第二季期間,Cloudflare 自動封鎖了有史以來最大規模的 DDoS 攻擊,峰值達到每秒 7.3 Tbps 和每秒 48 億個封包 (Bpps)。
整體而言,在 2025 年第二季,超流量 DDoS 攻擊呈爆發式增長。Cloudflare 封鎖了 6,500 多次超流量 DDoS 攻擊,平均每天 71 次。
儘管整體 DDoS 攻擊數量相比上一季有所下降(針對 Cloudflare 網路及其保護的關鍵網際網路基礎架構實施大規模活動導致出現前所未有的激增),但 2025 年第二季的攻擊數量仍比 2024 年第二季高出 44%。關鍵基礎架構持續面臨壓力,電信、服務提供者和電信業者再次躍居榜首,成為最主要的攻擊目標產業。
本報告中的所有攻擊均由我們的自主防禦自動偵測並封鎖。
若要進一步瞭解 DDoS 攻擊和其他類型網路威脅的相關資訊,請參閱我們的學習中心。請造訪 Cloudflare Radar,檢視這份報告的互動版本,您可在其中進一步深入剖析。此外,Radar 還提供免費 API,供有興趣調查網際網路趨勢的人使用。您還可進一步瞭解準備這些報告所使用的方法。
在 2025 年第二季,Cloudflare 緩解了 730 萬次 DDoS 攻擊,這一數據與第一季的 2,050 萬次相比大幅下降。當時,發動了一場針對 Cloudflare 自身及其他受其保護的關鍵基礎架構並持續 18 天的攻擊活動,進行了 1,350 萬次 DDoS 攻擊。
DDoS 攻擊季節分佈
2025 年剛過一半,到目前為止,Cloudflare 已經封鎖了 2,780 萬次 DDoS 攻擊,相當於我們在 2024 年全年封鎖的所有 DDoS 攻擊的 130%。
DDoS 攻擊年份分佈
進一步細分,第 3 層/第 4 層 (L3/4) DDoS 攻擊季度環比下降了 81% 至 320 萬,而 HTTP DDoS 攻擊增加了 9% 至 410 萬。同比變化仍然偏高。整體攻擊比 2024 年第二季高出 44%,其中 HTTP DDoS 攻擊同比增長最大,達到 129%。
DDoS 攻擊月份分佈
在 2025 年第二季,Cloudflare 封鎖了超過 6,500 次超巨流量 DDoS 攻擊,平均每天封鎖 71 次超巨流量攻擊。巨流量攻擊包括超過 1 Bpps 或 1 Tbps 的第 3/4 層 DDoS 攻擊,以及每秒超過 100 萬個請求(Mrps)的 HTTP DDoS 攻擊。
每秒超過 1 億個封包 (pps) 的超流量 DDoS 攻擊數量比上一季激增了 592%,而超過 10 億 pps 和 1 Tbps 的攻擊數量比上一季翻了一倍。超過 100 萬 rps 的 HTTP DDoS 攻擊數量總體保持在約 2,000 萬,平均每天發動近 22 萬次攻擊。
2025 年第二季的超流量 DDoS 攻擊
當問及誰是 2025 年第二季遭受 DDoS 攻擊的幕後黑手時,大多數 (71%) 受訪者表示他們不知道是誰攻擊了他們。在聲稱已識別威脅執行者的其餘 29% 的受訪者中,有 63% 指向競爭對手,這種模式在遊戲、博彩和加密產業中尤為常見。另有 21% 的受訪者將攻擊歸因於國家級或國家支援的執行者,同時各有 5% 的受訪者表示,他們無意中攻擊了自己(自我 DDoS)、遭受勒索者攻擊,或遭受心懷不滿的客戶/使用者的攻擊。
2025 年第二季報告的主要威脅執行者
相較於上一季,報告遭受勒索型 DDoS 攻擊或受到威脅的受攻擊 Cloudflare 客戶百分比增長了 68%,與 2024 年同季相比則增長了 6%。
2025 年第二季 DDoS 勒索攻擊季度分佈
經過深入瞭解,勒索型 DDoS 攻擊在 2025 年 6 月激增。大約有三分之一的受訪者表示遭受了勒索型 DDoS 攻擊的威脅或成為其受害者。
2025 年第二季 DDoS 勒索攻擊月度分佈
2025 年第二季前 10 大受攻擊地點排名發生顯著變化。中國上升了兩位,重新奪回榜首;巴西上升了四位,位列第二;德國下降了兩位,位列第三;印度上升了一位,位列第四;韓國上升了四位,位列第五。土耳其下降了四位,位列第六;香港下降了三位,位列第七;越南則驚人地上升了十五位,位列第八。與此同時,俄羅斯排名飆升 40 位,位列第九;亞塞拜然上升了 31 位,成為前十名中的最後一位。
2025 年第二季 DDoS 攻擊的主要目標位置
請務必注意,這些受攻擊地點透過服務遭受攻擊的 Cloudflare 客戶的帳單國家/地區確定,而非這些國家/地區本身遭受攻擊。換句話說,排名高只是意味著,在該帳單管轄區內有更多註冊客戶成為 DDoS 流量的目標,而非表示直接的地緣政治針對目標。
2025 年第二季遭受攻擊最多的前 10 產業排名亦出現顯著變化。電信、服務提供者和電信業者上升了一位,位列第一;而網際網路產業躍升了兩位,位列第二。資訊技術與服務保持其作為第三大受攻擊產業的位置,而遊戲則上升了一位,位列第四。博彩和賭場下降了四位,位列第五;銀行與金融服務業仍位列第六。零售業上升了一為,位列第七;農業躍升了 38 位,位列第八。在遭受最多攻擊的十大產業中,電腦軟體上升了兩位,位列第九;政府部門上升了兩位。
2025 年第二季遭受 DDoS 攻擊最多的產業
相較於上一季,2025 年第二季前 10 大 DDoS 攻擊來源的排名亦出現幾次變化。印尼上升了一位,位列第一;新加坡上升了兩位,位列第二;香港下降了兩位,位列第三;阿根廷下降了一位,位列第四;烏克蘭保持第五大 DDoS 攻擊來源。俄羅斯上升了六位,成為第六大來源;厄瓜多上升了七位,位列第七。越南上升了一位,成為第八大來源。荷蘭上升了四位,成為第九大 DDoS 攻擊來源,而泰國下降了三位,成為第十大 DDoS 攻擊來源。
2025 年第二季 DDoS 攻擊的主要來源
請務必注意,這些「來源」排名反映的是殭屍網路節點、代理或 VPN 端點所在的位置,而不是威脅執行者的實際位置。對於 IP 詐騙十分猖獗的第 3/4 層 DDoS 攻擊,我們利用在 330 多座城市的覆蓋面,將每個封包追溯至第一個接收並封鎖它的 Cloudflare 資料中心,以實現真正的精細準確性。
ASN(自治號碼)是指派給網路或 IP 網路群組的唯一識別碼,這些網路依據網際網路上的單一路由原則運作。其用於在使用 BGP(邊界閘道通訊協定)等通訊協定的系統之間交換路由資訊。
在約一年內,總部位於德國的 Hetzner (AS24940) 網路首次從 HTTP DDoS 攻擊的最大來源地降至第三位。取而代之的是奧地利的 Drei (AS200373),在 HTTP DDoS 攻擊的頭號來源中排名上升了 6 位。總部位於美國的 DigitalOcean (AS14061) 上升了一位,位列第二。
HTTP DDoS 攻擊的前 10 大 ASN 來源
從上圖可以看出,列出的 10 個 ASN 中有 8 個提供虛擬機器 (VM)、託管或雲端服務,這表明了 VM 型殭屍網路的常見用途。相較於 IoT 型殭屍網路,這些殭屍網路預計強 5,000 倍。只有 Drei (AS200373) 和 ChinaNet Backbone (AS4134) 是主要的 ISP 或電信業者,沒有大量的公有 VM/雲端產品。
IoT 型殭屍網路與 VM 型殭屍網路
為了協助託管提供者、雲端運算提供者和任何網際網路服務提供者識別並摧毀發動這些攻擊的濫用帳戶,我們善用 Cloudflare 的獨特優勢,為服務提供者提供免費的 DDoS 殭屍網路威脅摘要。全球已有 600 多個組織註冊獲取此摘要,我們已經看到整個社群緊密合作以摧毀殭屍網路節點。這要歸功於威脅情報摘要,它為這些服務提供者提供了其 ASN 內有問題的 IP 位址清單,我們注意到這些位址正在發起 HTTP DDoS 攻擊。摘要完全免費,只需開設一個免費的 Cloudflare 帳戶,透過 PeeringDB 驗證 ASN,然後即可透過 API 擷取威脅情報。
只需一次簡單的 API 呼叫,服務提供者即可從其網路內取得違規 IP 位址清單。下面提供了一個範例回應。
{
"result": [
{
"cidr": "127.0.0.1/32",
"date": "2024-05-05T00:00:00Z",
"offense_count": 10000
},
// ... other entries ...
],
"success": true,
"errors": [],
"messages": []
}
免費的 ISP DDoS 殭屍網路威脅摘要 API 的回應範例
在 2025 年第二季,大多數 (71%) HTTP DDoS 攻擊都由已知的殭屍網路發起。由於營運了一個龐大的網路,並觀察到許多不同類型的攻擊和殭屍網路,因此可快速偵測和封鎖這些攻擊。藉由善用即時威脅情報,我們的系統能非常快速地指示 DDoS 殭屍網路,從而促進更高效的緩解。即使指示一個 DDoS 殭屍網路僅針對一個網站或 IP 位址,我們的整個網路和客戶群也會立即受到保護。此即時威脅情報系統會隨著殭屍網路的變化和節點變更而調整。
2025 年第二季的主要 HTTP DDoS 攻擊手段
2025 年第二季,DNS 洪水攻擊是最主要的第 3/4 層攻擊手段,幾乎佔所有第 3/4 層 DDoS 攻擊的三分之一。SYN 洪水攻擊是第二常見的攻擊手段,其佔比從第一季的 31% 下降至第二季的 27%。
位列第三的 UDP 洪水攻擊亦顯著增長,從第一季的 9% 上升至第二季的 13%。RST 洪水攻擊是基於 TCP 的 DDoS 攻擊的另一種形式,佔所有第 3/4 層攻擊的 5%,是第四常見的攻擊手段。在排名前五的攻擊中,SSDP 洪水攻擊的佔比雖從上一季的 4.3% 有所下降,以 3% 微升位列第五,但足以將之前盛行的 Mirai 攻擊(佔比從第一季的 18% 下降至第二季的僅 2%)踢出前五。
2025 年第二季的主要 L3/4 DDoS 攻擊手段
前 3 大第 3 層/第 4 層 DDoS 攻擊手段細分
以下是有關最常見的前 3 大 L3/4 DDoS 攻擊的詳細資料。我們提供了如何避免組織成為反射和放大元素的建議,以及如何在抵禦這些攻擊的同時避免影響合法流量的建議。Cloudflare 客戶受到保護,免遭這些攻擊。
DNS 洪水攻擊
類型:洪水攻擊
運作方式:DNS 洪水攻擊的目的是透過大量 DNS 查詢(有效、隨機或格式錯誤)淹沒 DNS 伺服器,以耗盡 CPU、記憶體或頻寬。與放大攻擊不同,這是一種直接洪水攻擊,旨在降低效能或導致服務中斷,通常透過 UDP 連接埠 53 發動,但有時也透過 TCP 發動(對於支援 DNS-over-TCP 或 DNSSEC 的區域尤其如此)。
如何抵禦攻擊:使用 Cloudflare DNS 作為主要或次要 DNS,以及使用 Cloudflare DNS 防火牆及/或 Cloudflare Magic Transit 在查詢洪水到達您的來源之前吸收並緩解。Cloudflare 的全球網路每秒處理數千萬個 DNS 查詢,內建的 DDoS 篩選和查詢快取功能可在回應合法請求的同時,封鎖格式錯誤或過多的流量。
如何避免意外影響:避免封鎖所有 DNS 流量或停用 UDP 連接埠 53,否則會中斷正常解析。依賴 Cloudflare 的 DNS 特定保護,例如 Advanced DNS Protection,並部署支援 DNSSEC 的保護措施,以安全地處理基於 TCP 的查詢洪水。
SYN 洪水攻擊
類型:洪水攻擊
運作方式:在 SYN 洪水攻擊中,威脅執行者傳送大量 TCP SYN 封包(通常帶有偽裝的 IP 位址)來啟動從未完成的連線。這會使目標系統保持半開放連線,消耗記憶體及連線追蹤資源,可能會耗盡伺服器的限制,並阻止真正的用戶端連接。
如何防禦攻擊:使用 Cloudflare Magic Transit 在邊緣攔截和緩解 TCP SYN 洪水攻擊。Cloudflare 善用 SYN Cookie、連線追蹤和行為分析,來區分真實用戶端與偽造或惡意來源,確保合法的 TCP 連線能夠成功完成。使用 Cloudflare 的 CDN/WAF 服務或 Cloudflare Spectrum,這些服務分別用於 HTTP 或 TCP 的反向代理服務。使用反向代理基本上可消除以 TCP 為基礎的 DDoS 攻擊可能造成的影響。
如何避免意外影響:封鎖所有 SYN 流量或套用積極逾時,可能封鎖真實使用者。轉為依賴與 Cloudflare 的進階 TCP 保護系統,該系統使用 SYN 速率定型、異常偵測和偽造封包篩選來緩解攻擊,而不會影響真正的用戶端連線。
UDP DDoS 攻擊
類型︰洪水攻擊
運作方式:大量 UDP 封包被傳送至目標 IP 位址的隨機或特定連接埠。該攻擊可能會試圖用超過網際網路處理能力的封包數量,來使網際網路連結飽和,或使嵌入式設備不堪重負,從而造成中斷或停機。
如何抵禦攻擊:部署可即時識別攻擊流量的雲端巨流量 DDoS 防護,例如 Cloudflare Magic Transit 或 Cloudflare Spectrum,對 UDP 流量套用智慧型限速,並使用 Magic Firewall 完全丟棄不需要的 UDP 流量。
如何避免意外影響:積極的篩選可能會中斷合法的 UDP 服務,例如 VoIP、視訊會議或線上游戲。謹慎套用閾值。
在 2025 年第二季新興的 L3/4 DDoS 威脅中,Teeworlds 洪水攻擊暴增的峰值最大。這些攻擊較前一季躍升 385%,其次是 RIPv1 洪水攻擊,激增 296%。RDP 洪水攻擊攀升了 173%,而 Demon Bot 洪水攻擊則增加了 149%。即使是古老的 VxWorks 洪水攻擊亦捲土重來,季度環比增長了 71%。這些顯著上升凸顯了威脅執行者正在使用鮮為人知和舊式的通訊協定來進行實驗,以規避標準防禦。
2025 年第二季新興的熱門威脅
新興的熱門威脅分析
以下是有關 2025 年第二季新興威脅的詳細資料,主要是非常舊的攻擊手段的再次利用。我們提供了如何避免組織成為反射和放大元素的建議,以及如何在抵禦這些攻擊的同時避免影響合法流量的建議。Cloudflare 客戶受到保護,免遭這些攻擊。
類型:洪水攻擊
運作方式:Teeworlds 是一款快節奏開放原始碼 2D 多人射擊遊戲,該遊戲使用以 UDP 為基礎的自訂通訊協定來提供即時遊戲體驗。威脅執行者利用可模仿遊戲內動作或連線嘗試的偽造或過多的 UDP 封包,來淹沒目標的遊戲伺服器。這可能會使伺服器資源不堪重負,並導致延遲或中斷。
如何抵禦攻擊:使用 Cloudflare Spectrum 或 Cloudflare Magic Transit 來保護伺服器。Cloudflare 使用即時指紋技術,自動偵測和緩解這些類型的攻擊,封鎖攻擊流量的同時允許真實玩家通過。Magic Transit 還提供封包級防火牆功能,即可用於製作自訂保護的 Magic Firewall。
如何避免意外影響:在製定自訂規則時,避免直接封鎖或積極限速 UDP 連接埠 8303,因為這會破壞整體遊戲體驗。而是依賴於智慧型偵測與緩解服務,以避免影響合法使用者。
Teeworlds Screenshot 來源:維基百科
RIPv1 DDoS 攻擊
類型:反射 +(低)放大
運作方式:利用 Routing Information 通訊協定版本 1 (RIPv1),這是一種舊的、未經驗證的距離向量路由通訊協定,使用 UDP/520。威脅執行者傳送偽造的路由更新,以淹沒或混淆網路。
如何防止成為反射/放大元素:在路由器上停用 RIPv1。在需要路由之處,使用具有驗證功能的 RIPv2。
如何防禦攻擊:封鎖來自不受信任網路的輸入 UDP/520。監控意外的路由更新。
如何避免意外影響:RIPv1 大多已過時;停用通常是安全的。如果舊系統依賴該服務,請在變更前驗證路由行為。
RDP DDoS 攻擊
DemonBot DDoS 攻擊
類型:以殭屍網路為基礎的洪水攻擊
運作方式:DemonBot 是一種惡意程式碼,可透過開放的連接埠或弱認證感染 Linux 系統,尤其是不安全的 IoT 裝置。一旦感染,這些裝置就會成為殭屍網路的一部分,能夠發起大量的 UDP、TCP 和應用程式層洪水攻擊。攻擊通常由命令與控制 (C2) 系統驅動,可能產生大量流量,往往針對遊戲、託管或企業服務。為避免感染,請使用防毒軟體和網域篩選。
如何防禦攻擊:使用 Cloudflare Magic Transit 吸收和篩選大規模網路層洪水,防止其到達您的基礎架構。Cloudflare 的即時流量分析和簽章型偵測會中和 DemonBot 感染裝置的流量。若是應用程式層服務,Cloudflare DDoS 防護和 WAF 可緩解有針對性的 HTTP 洪水攻擊和連線濫用。
如何避免意外影響:依賴於 Cloudflare 的自適應緩解來區分合法使用者和殭屍網路流量,而不是廣泛封鎖流量類型或連接埠。結合 IP 信譽篩選、地理封鎖和限速,以減少誤判並確保服務可用性。
VxWorks 洪水 DDoS 攻擊
類型:洪水(基於 IoT)
運作方式:VxWorks 是一種即時作業系統 (RTOS),在數百萬個嵌入式和 IoT 裝置(例如,路由器、工業控制器)中使用。執行過時或設定錯誤的 VxWorks 版本的裝置可能會遭到入侵,並被用於發起 DDoS 攻擊。一旦感染(通常透過公有漏洞或弱認證),它們會傳送大量 UDP、TCP 或 ICMP 流量來淹沒目標,類似於傳統的 IoT 殭屍網路。
如何抵禦攻擊:部署 Cloudflare Magic Transit 以在網路邊緣封鎖巨流量。Cloudflare 使用即時指紋辨識和專有啟發式方法,來識別遭入侵 VxWorks 裝置的流量,並即時進行緩解。若是應用程式服務,Cloudflare 的 DDoS 緩解和 Gateway 服務可提供額外的保護,防止通訊協定層級濫用。
如何避免意外影響:避免過度封鎖 UDP 或 ICMP 流量,因為這可能會中斷合法診斷或即時服務。而是使用 Cloudflare 的智慧型篩選、限速和地理/IP 聲譽工具,來安全地緩解攻擊,同時避免對合法流量造成影響。
Cloudflare 的即時指紋產生流程
大部分 DDoS 攻擊規模較小,持續時間較短。在 2025 年第二季,94% 的第 3 層/第 4 層 DDoS 攻擊未超過 500 Mbps。同樣,大約 85% 的第 3/4 層 DDoS 攻擊未超過 50,000 pps。大多數 HTTP DDoS 攻擊也是小型攻擊,65% 保持在 50K rps 以下。不過,「小型」是一個相對的概念。
一般的現代伺服器通常是指具有約 4–8 個 CPU 核心的一般用途實體或虛擬機器(例如,Intel Xeon Silver)、16–64 GB RAM 和 1 Gbps NIC,執行 Linux 作業系統(例如 Ubuntu 或 CentOS),並搭載 NGINX 或類似軟體。此設定可處理約 100,000–500,000 pps,輸送量高達約 940 Mbps,以及靜態內容的約 10,000–100,000 或資料庫支援的動態應用程式的 500–1,000 rps,具體取決於調整和工作負載。
假設伺服器未受雲端 DDoS 防護服務保護,如果在尖峰流量時段遭遇「小型」DDoS 攻擊,伺服器很可能無法承受。即使「小型」DDoS 攻擊也可能對未受保護的伺服器造成重大影響。
2025 年第二季的 DDoS 攻擊規模和持續時間
雖然大多數 DDoS 攻擊都是小型攻擊,但超流量 DDoS 攻擊在規模和頻率上正在不斷增加。每 100 次 HTTP DDoS 攻擊中,有 6 次超過 1M rps;每 10,000 次第 3 層/第 4 層 DDoS 攻擊中,有 5 次超過 1 Tbps,環比增長 1,150%。
全球最大規模的攻擊:7.3 Tbps
大多數 DDoS 攻擊的持續時間較短,即使最大和最激烈的攻擊亦是如此。威脅執行者通常依賴於短暫的集中式流量爆發(有時僅持續 45 秒),試圖在完全啟動防御之前避免偵測、壓垮目標,並造成最大程度的干擾。這種短暫、高強度的爆發策略使得偵測和緩解更具挑戰性,並強調永遠開啟、即時保護的必要性。值得慶幸的是,Cloudflare 的自動化 DDoS 防禦系統可立即啟動。
在 Cloudflare,我們致力於協助打造更好的網際網路。提供免費、無限制的 DDoS 防護是該使命的一部分,無論其規模、持續時間和數量如何。我們不只是防禦 DDoS 攻擊。最好的防禦就是好的進攻,我們使用免費的 ISP Botnet Threat Feed 來協助摧毀殭屍網路。
儘管許多人仍被動地採用防護措施或依賴於過時的解決方案,我們的資料顯示,主動且永遠開啟的安全措施更為有效。我們的全球網路遍布 330 多座城市且容量高達 388 Tbps,在其支援下,我們可提供自動化、嵌入式且經過實戰驗證的各種 DDoS 攻擊防護。