2025年第四季度DDoS威胁报告:创纪录的31.4 Tbps攻击为大规模DDoS袭击之年画上句号
欢迎阅读Cloudflare第24期季度DDoS威胁报告。在本报告中,Cloudforce One基于Cloudflare网络的数据,对分布式拒绝服务(DDoS)攻击不断演变的威胁态势进行了全面分析。本期报告重点关注2025年第四季度,并分享2025年的整体数据。2025年第四季度的特点是Aisuru-Kimwolf僵尸网络发起了前所未有的攻击浪潮,被称为“平安夜前夕”DDoS攻击活动。该活动针对Cloudflare客户以及Cloudflare的控制面板和基础设施,发起了超大规模HTTP DDoS攻击,峰值超过每秒2亿次请求(rps),而就在几周前,刚刚发生了一次破纪录的每秒31.4太比特(Tbps)的攻击。
关键洞察
- 2025年DDoS攻击激增121%,平均每小时自动缓解5,376次攻击。
- 在2025年最后一个季度,香港跃升12位,成为全球第二大DDoS攻击目标地。英国也惊人地跃升了36位,成为第六大受攻击地。
- 受感染的Android电视(Aisuru-Kimwolf僵尸网络的一部分)用超大规模HTTP DDoS攻击轰炸Cloudflare网络,而电信行业成为受攻击最严重的行业。
2025年DDoS攻击大幅激增
2025年,DDoS攻击总数翻了一倍多,达到惊人的4,710万次。近年来此类攻击激增:2023年至2025年间,DDoS攻击数量飙升了236%。
2025年,Cloudflare平均每小时缓解5,376次DDoS攻击——其中3,925次是网络层DDoS攻击,1,451次是HTTP DDoS攻击。
2025年网络层DDoS攻击增长超过三倍
增长最显著的是网络层DDoS攻击,同比增长超过三倍。2025年,Cloudflare缓解了3,440万次网络层DDoS攻击,而2024年为1,140万次。网络层攻击的很大一部分——约1,350万次——针对受Cloudflare Magic Transit保护的全球互联网基础设施以及Cloudflare自身的基础设施,这是2025年第一季度一场为期18天的DDoS攻击活动的一部分。在这些攻击中,690万次针对Magic Transit客户,其余660万次直接针对Cloudflare。
这次攻击是一场多向量DDoS活动,包括SYN洪水攻击、Mirai生成的DDoS攻击和SSDP放大攻击等。我们的系统自动检测并缓解了这些攻击。事实上,我们是在准备2025年第一季度DDoS威胁报告时才发现了这次活动——这证明了Cloudflare的DDoS缓解效果有多好!
在2025年最后一个季度,DDoS攻击数量比上一季度增长了31%,比2024年增长了58%。网络层DDoS攻击推动了这一增长。2025年第四季度,网络层DDoS攻击占所有DDoS攻击的78%。HTTP DDoS攻击的数量保持不变,但其规模激增,达到了自2023年HTTP/2 Rapid Reset DDoS活动以来我们从未见过的水平。最近的激增是由Aisuru-Kimwolf僵尸网络发起的,我们将在下一节中介绍。
“平安夜前夕”DDoS攻击活动
2025年12月19日星期五,Aisuru-Kimwolf僵尸网络开始用超大规模DDoS攻击轰炸Cloudflare基础设施和Cloudflare客户。这次活动的新特点是其规模:该僵尸网络使用了超大规模HTTP DDoS攻击,峰值超过每秒2,000万次请求(Mrps)。
Aisuru-Kimwolf僵尸网络是一个由恶意软件感染的设备组成的大规模集合,主要是Android电视。该僵尸网络估计包含100万至400万个受感染主机。它能够发起DDoS攻击,足以瘫痪关键基础设施、击垮大多数传统的基于云的DDoS防护解决方案,甚至中断整个国家的连接。
在整个活动期间,Cloudflare的自主DDoS防御系统检测并缓解了所有攻击:384次数据包密集型攻击、329次比特密集型攻击和189次请求密集型攻击,总计902次超大规模DDoS攻击,平均每天53次。
活动期间超大规模DDoS攻击的平均规模为每秒30亿个数据包(Bpps)、每秒4太比特(Tbps)和每秒5,400万次请求(Mrps)。记录到的最大峰值分别为每秒90亿个数据包、每秒24太比特和每秒2.05亿次请求。为了理解这个规模,每秒2.05亿次请求的DDoS攻击相当于英国、德国和西班牙的总人口同时输入一个网站地址,然后在同一秒按下“回车”键。
尽管“平安夜前夕”活动非常引人注目,但它只占我们全年看到的超大规模DDoS攻击的一小部分。
超大规模DDoS攻击
在整个2025年,Cloudflare观察到超大规模DDoS攻击持续增加。2025年第四季度,超大规模攻击比上一季度增加了40%。
随着2025年攻击数量的增加,攻击规模也在扩大,与2024年底看到的大型攻击相比增长了700%以上,其中一次DDoS攻击达到了31.4 Tbps,仅持续了35秒。下图描绘了Cloudflare看到并阻止的DDoS攻击规模的快速增长——每一次都是世界纪录,即当时任何公司公开披露的最大攻击。
与所有其他攻击一样,31.4 Tbps的DDoS攻击被Cloudflare的自主DDoS防御自动检测并缓解,该系统能够适应并快速锁定Aisuru-Kimwolf等僵尸网络。
大多数超大规模DDoS攻击针对电信、服务提供商和运营商行业的Cloudflare客户。游戏行业和提供生成式AI服务的Cloudflare客户也受到严重攻击。最后,Cloudflare自身的基础设施也受到HTTP洪水、DNS攻击和UDP洪水等多种攻击向量的攻击。
受攻击最严重的行业
在分析各种规模的DDoS攻击时,电信、服务提供商和运营商行业也是最受攻击的目标。此前,信息技术与服务行业曾不幸占据这一位置。赌博与赌场以及游戏行业分别排名第三和第四。本季度前十名中变化最大的是计算机软件和商业服务行业,两者都上升了几位。受攻击最严重的行业之所以如此,是因为它们作为关键基础设施、其他企业的核心骨干,或者对服务中断和延迟具有直接、高风险的财务敏感性。
受攻击最严重的地点
在全球受攻击最严重的地点中,DDoS态势既有可预测的稳定性,也有戏剧性的变化。中国、德国、巴西和美国等目标位居前五,显示出对攻击者的持久吸引力。香港显著上升,跃升12位至第二位。然而,更大的故事是英国的迅速崛起,本季度惊人地飙升了36位,使其成为第六大受攻击地点。越南保持第七大受攻击地点的位置,其次是阿塞拜疆第八、印度第九和新加坡第十。
主要攻击来源
在2025年第四季度,孟加拉国取代印度尼西亚成为最大的DDoS攻击来源。印度尼西亚在担任一年最大攻击来源后降至第三位。厄瓜多尔也上升两位,成为第二大来源。值得注意的是,阿根廷惊人地飙升了20位,成为第四大DDoS攻击来源。香港上升三位,位居第五。乌克兰排名第六,其次是越南、台湾、新加坡和秘鲁。
主要来源网络
攻击来源网络的前10名名单读起来就像互联网巨头的名单,揭示了现代DDoS攻击构成的迷人故事。共同点很明显:威胁行为者正在利用世界上最易访问和最强大的网络基础设施——主要是大型、面向公众的服务。我们看到大多数DDoS攻击来自与云计算平台和云基础设施提供商相关的IP地址,包括DigitalOcean(AS 14061)、Microsoft(AS 8075)、Tencent(AS 132203)、Oracle(AS 31898)和Hetzner(AS 24940)。这证明了易于配置的虚拟机与高容量攻击之间的紧密联系。
这些主要集中在美国的云来源之后,紧随其后的是与传统电信提供商(Telcos)相关的IP地址发起的攻击。这些主要来自亚太地区(包括越南、中国、马来西亚和台湾)的电信提供商构成了前十名的其余部分。这种地理和组织多样性证实了双重攻击现实:虽然最高排名来源的巨大规模通常来自全球云中心,但问题确实是全球性的,通过互联网最关键路径从世界各地路由。在许多DDoS攻击中,我们看到成千上万不同的来源ASN,突显了僵尸网络节点的真正全球分布。
为了帮助托管提供商、云计算平台和互联网服务提供商识别并取缔发起这些攻击的滥用IP地址/账户,我们利用Cloudflare在DDoS攻击方面的独特视角,为服务提供商提供免费的DDoS僵尸网络威胁源。全球已有800多个网络注册了此源,我们已经看到社区内为取缔僵尸网络节点进行了很好的合作。
帮助防御互联网
DDoS攻击在复杂性和规模上迅速增长,超越了以前可以想象的范围。这种不断演变的威胁态势对许多组织来说是一个重大挑战,难以跟上。目前依赖本地缓解设备或按需清洗中心的组织可能会受益于重新评估其防御策略。Cloudflare致力于利用其庞大的全球网络和自主DDoS缓解系统,为所有客户提供免费、不限量的DDoS保护,无论攻击的规模、持续时间或数量如何。
关于Cloudforce One
Cloudforce One以帮助防御互联网为使命,利用Cloudflare全球网络(保护约20%的网站)的遥测数据来推动威胁研究和操作响应,保护全球数百万组织的关键系统。
原文链接:2025 Q4 DDoS threat report: A record-setting 31.4 Tbps attack caps a year of massive DDoS assaults |
发表于: