超大规模 DDoS 攻击激增:Cloudflare 2025 年第二å£åº¦ DDoS å¨�èƒ�形势报告
- 世界杯开幕式
- 2025-09-04 03:36:49
- 2274
欢迎阅读第 22 版 Cloudflare DDoS å¨�èƒ�形势报告。本报告æ¯�å£åº¦å�‘布一次,基于æ�¥è‡ª Cloudflare 网络 çš„æ•°æ�®ï¼Œå°±ä¸�æ–æ¼”å�˜çš„分布å¼�æ‹’ç»�æœ�务(DDoS)攻击 å¨�èƒ�形势æ��供全é�¢åˆ†æž�。本版报告é‡�点关注 2025 年第二å£åº¦ã€‚è¦�查看过去的报告,请访问 www.ddosreport.com 。
2025 年第二å£åº¦æœŸé—´ï¼Œ6 月是 DDoS 攻击最频ç¹�的月份,在观察到的所有活动ä¸å� 比达到 38%。值得注æ„�çš„æ”»å‡»ç›®æ ‡æ˜¯ä¸€å®¶å�— Cloudflare ä¿�护的东欧独立新闻媒体,该媒体报称,在报é�“ LGBTQ 骄傲月期间举行的当地骄傲游行å�Žé�到了攻击。
关于 DDoS 攻击的主�洞察
DDoS 攻击继ç»æ‰“ç ´çºªå½•ã€‚2025 年第二å£åº¦ï¼ŒCloudflare 自动阻æ¢äº†æœ‰å�²ä»¥æ�¥æŠ¥å‘Šçš„最大规模 DDoS 攻击,峰值达到 7.3 太比特æ¯�秒(Tbps) å’Œ 48 亿数æ�®åŒ…æ¯�秒(Bpps)。
总体而言,在 2025 年第二å£åº¦ï¼Œè¶…大规模 DDoS 攻击呈爆炸å¼�增长。Cloudflare 阻æ¢äº†è¶…过 6500 次超大容é‡� DDoS 攻击,平å�‡æ¯�天 71 次。
尽管与上一å£åº¦ç›¸æ¯”,DDoS 攻击的总数有所下é™�——上一å£åº¦ç”±äºŽé’ˆå¯¹ Cloudflare 网络和å�— Cloudflare ä¿�护的关键互è�”网基础设施的一场大规模活动,数é‡�å�‘生了å‰�所未有的激增——但 2025 年第二å£åº¦çš„攻击数é‡�ä»�比 2024 年第二å£åº¦é«˜å‡º 44%。关键基础设施继ç»é�¢ä¸´æŒ�ç»åŽ‹åŠ›ï¼Œç”µä¿¡ã€�æœ�务æ��供商和è¿�è�¥å•†å†�次跃居æˆ�为最å�—攻击的行业。
本报告ä¸çš„所有攻击å�‡è¢«æˆ‘们的自主防御系统自动检测并阻æ¢ã€‚
è¦�详细了解 DDoS 攻击和其他类型的网络å¨�èƒ�,请访问我们的å¦ä¹ ä¸å¿ƒã€‚请访问 Cloudflare Radar,查看本报告的交互å¼�版本,进一æ¥æ·±å…¥æŽ¢ç´¢æ•°æ�®ã€‚å¯¹äºŽæœ‰å…´è¶£ç ”ç©¶äº’è�”网趋势的用户,Radar 还æ��供一个å…�è´¹ API 。您还å�¯ä»¥è¿›ä¸€æ¥äº†è§£è¿™äº›æŠ¥å‘Šç¼–制时所使用的方法论。
DDoS 攻击统计数�
2025 年第二å£åº¦ï¼ŒCloudflare 缓解了 730 万次 DDoS 攻击,远低于第一å£åº¦çš„ 2050 万次。第一å£åº¦å�‘生了一场针对 Cloudflare 自身å�Šå�—å…¶ä¿�护的其他关键基础设施的攻击活动,æŒ�ç» 18 天,导致了 1350 万次 DDoS 攻击。
DDoS 攻击(按å£åº¦ï¼‰
2025 年刚过一å�Šï¼Œåˆ°ç›®å‰�为æ¢ï¼ŒCloudflare å·²ç»�阻æ¢äº† 2780 万次 DDoS 攻击,相当于我们在 2024 å¹´å…¨å¹´é˜»æ¢ DDoS 攻击总数的 130%。
DDoS 攻击(按年份)
进一æ¥åˆ†æž�å�¯è§�,第 3 层/第 4 层(L3/4)DDoS 攻击环比å‡�å°‘ 81%,至 320 万次,而 HTTP DDoS 攻击增长 9%,至 410 万次。å�Œæ¯”增幅ä»�然维æŒ�较高水平。总体攻击数é‡�比 2024 年第二å£åº¦é«˜å‡º 44%ï¼Œå…¶ä¸ HTTP DDoS 攻击å�Œæ¯”增长最快,达到 129%。
DDoS 攻击(按月份)
超大容� DDoS 攻击
在 2025 年第二å£åº¦ï¼ŒCloudflare 阻æ¢äº†è¶…过 6500 次超大容é‡� DDoS 攻击,平å�‡æ¯�天 71 次。超大容é‡�攻击包括超过 1 Bpps 或 1 Tbps çš„ L3/4 DDoS 攻击,以å�Šè¶…过æ¯�秒 100 万次请求(Mrps)的 HTTP DDoS 攻击。
超过 1 亿数æ�®åŒ…æ¯�秒(pps)的超大容é‡� DDoS 攻击数é‡�较å‰�一å£åº¦æ¿€å¢žäº† 592%,而超过 10 亿 pps å’Œ 1 太比特æ¯�秒(Tbps)的攻击数é‡�较å‰�一å£åº¦ç¿»äº†ä¸€ç•ªã€‚超过 100 万 rps çš„ HTTP DDoS 攻击总数稳定在 2000 万次左å�³ï¼Œå¹³å�‡æ¯�天接近 22 万次攻击。
2025 年第二å£åº¦çš„超大容é‡� DDoS 攻击
��行为者
当被问å�Šåœ¨ 2025 年第二å£åº¦é�å�—çš„ DDoS 攻击背å�Žçš„实施者时,大多数(71%)å�—访者表示ä¸�知é�“。在余下 29% 已识别出å¨�èƒ�行为者的å�—访者ä¸ï¼Œ63% 指出是竞争对手所为,这ç§�模å¼�在游æˆ�ã€�泛娱ä¹�å’ŒåŠ å¯†è´§å¸�行业尤为常è§�。å�¦æœ‰ 21% çš„å�—è®¿è€…å°†æ”»å‡»å½’å› äºŽå›½å®¶çº§æˆ–å›½å®¶æ”¯æŒ�的行为者,5% å�—è®¿è€…è¡¨ç¤ºä»–ä»¬æ— æ„�ä¸æ”»å‡»äº†è‡ªå·±ï¼ˆsef-DDoS),æˆ�ä¸ºå‹’ç´¢è€…çš„ç›®æ ‡ï¼Œæˆ–é�到心怀ä¸�满的客户/用户攻击。
2025 年第二å£åº¦æŠ¥å‘Šçš„主è¦�å¨�èƒ�行为者
DDoS 勒索攻击
报告称,å�—到攻击的 Cloudflare 客户ä¸ï¼ŒæŠ¥å‘Šæˆ�为勒索 DDoS æ”»å‡»ç›®æ ‡æˆ–å�—到å¨�èƒ�的客户百分比较上一å£åº¦å¢žåŠ 了 68%,与 2024 å¹´å�Œå£åº¦ç›¸æ¯”å¢žåŠ äº† 6%。
2025 年第二å£åº¦å‹’ç´¢ DDoS 攻击
深入分æž�å�¯è§�,2025 å¹´ 6 月,勒索 DDoS æ”»å‡»å¤§å¹…å¢žåŠ ã€‚å¤§çº¦ä¸‰åˆ†ä¹‹ä¸€å�—访者报称å�—到å¨�èƒ�或é�å�—å‹’ç´¢ DDoS 攻击。
2025 年第二å£åº¦çš„å‹’ç´¢ DDoS 攻击(按月份)
�攻击最多的国家/地区
2025 年第二å£åº¦é�å�—攻击最多的å‰� 10 个地区排å��å�‘生了显著å�˜åŒ–。ä¸å›½ä¸Šå�‡ä¸¤ä½�并é‡�回第一ä½�,巴西跃å�‡å››ä½�到第二ä½�,德国下é™�两ä½�到第三ä½�,å�°åº¦ä¸Šå�‡ä¸€ä½�到第四ä½�,韩国上å�‡å››ä½�到第五ä½�。土耳其下é™�了四ä½�至第å…ä½�,香港下é™�三ä½�至第七ä½�,越å�—惊人地飙å�‡å��五ä½�至第八ä½�。与æ¤å�Œæ—¶ï¼Œä¿„罗斯跃å�‡å››å��ä½�至第ä¹�ä½�,阿塞拜疆跃å�‡ä¸‰å��一ä½�,跻身å‰�å��。
2025 年第二å£åº¦é�å�— DDoS 攻击最多的地区
需è¦�注æ„�的是,这些被攻击的ä½�置是由æœ�务å�—到攻击的 Cloudflare 客户的账å�•å›½å®¶/地区决定的,而ä¸�是这些国家/地区本身å�—到攻击。æ�¢å�¥è¯�说,高排å��ä»…ä»…æ„�味ç�€åœ¨è¯¥è´¦å�•æ‰€å±žå�¸æ³•ç®¡è¾–区ä¸æœ‰æ›´å¤šæˆ‘们的注册客户æˆ�为 DDoS æµ�é‡�çš„ç›®æ ‡ï¼Œè€Œä¸�æ„�味ç�€ç›´æŽ¥çš„地缘政治攻击。
�攻击最多的行业
2025 年第二å£åº¦é�å�—攻击最多的å��大行业排å��也出现了一些值得注æ„�çš„å�˜åŒ–。电信ã€�æœ�务æ��供商和è¿�è�¥å•†ä¸Šå�‡ä¸€ä½�,排å��第一,互è�”网行业上å�‡ä¸¤ä½�,排å��第二。信æ�¯æŠ€æœ¯å’Œæœ�务行业维æŒ�第三ä½�,游æˆ�行业上å�‡ä¸€ä½�至第四ä½�。泛娱ä¹�下é™�了四ä½�至第五ä½�,银行和金èž�æœ�务行业ä¿�æŒ�在第å…ä½�。零售行业上å�‡ä¸€ä½�至第七ä½�,农业大幅飙å�‡ä¸‰å��å…«ä½�至第八ä½�。计算机软件上å�‡äº†ä¸¤ä½�,达到第ä¹�ä½�,政府机构跃å�‡äº†ä¸¤ä½�,进入å�—攻击最多行业的å‰�å��ä½�。
2025 年第二å£åº¦å�— DDoS 攻击最多的行业
HTTP DDoS 攻击的主���
与上一å£åº¦ç›¸æ¯”,2025 年第二å£åº¦çš„ 10 个主è¦� DDoS 攻击æ�¥æº�排å��也出现了一些å�˜åŒ–。å�°åº¦å°¼è¥¿äºšä¸Šå�‡ä¸€ä½�至第一ä½�ï¼Œæ–°åŠ å�¡ä¸Šå�‡ä¸¤ä½�至第二ä½�,ä¸å›½é¦™æ¸¯ä¸‹é™�两ä½�至第三ä½�ï¼Œé˜¿æ ¹å»·ä¸‹é™�一ä½�至第四ä½�,而乌克兰则ä¿�æŒ�为第五大 DDoS 攻击æ�¥æº�地。俄罗斯飙å�‡äº†å…ä½�,æˆ�为第å…大æ�¥æº�,其次是厄瓜多尔,跃å�‡äº†ä¸ƒä½�。越å�—上å�‡ä¸€ä½�,æˆ�为第八大æ�¥æº�。è�·å…°ä¸Šå�‡äº†å››ä¸ªä½�次,æˆ�为第ä¹�大 DDoS 攻击æ�¥æº�地,而泰国下é™�了三个ä½�次,æˆ�为第å��大 DDoS 攻击æ�¥æº�地。
2025 年第二å£åº¦ DDoS 攻击的主è¦�æ�¥æº�
需è¦�注æ„�的是,这些“æ�¥æº�â€�排å��å��æ˜ äº†åƒµå°¸ç½‘ç»œèŠ‚ç‚¹ã€�代ç�†æˆ– VPN 端点的所在ä½�置,而ä¸�是å¨�èƒ�行为者的实际ä½�置。对于 IP 欺骗行为猖ç�—çš„ L3/4 DDoS 攻击,我们ä¾�托覆盖全ç�ƒ 330 多个城市的网络,将æ¯�个数æ�®åŒ…定ä½�至首次接收并拦截该数æ�®åŒ…çš„ Cloudflare æ•°æ�®ä¸å¿ƒï¼Œä»Žè€Œå®žçŽ°æž�高的精准度。
主� DDoS 攻击��网络
ASN(自治系统编å�·ï¼‰æ˜¯åˆ†é…�给一个网络或一组 IP 网络(在互è�”网上按å�•ä¸ªè·¯ç”±ç–ç•¥è¿�è¡Œï¼‰çš„å”¯ä¸€æ ‡è¯†ç¬¦ã€‚å®ƒç”¨äºŽåœ¨ä¸�å�Œç³»ç»Ÿä¹‹é—´ä½¿ç”¨ BGP(边界网关å��议) ç‰å��议交æ�¢è·¯ç”±ä¿¡æ�¯ã€‚
在过去一年左å�³çš„时间里,ä½�于德国的 Hetzner (AS24940) 网络首次从 HTTP DDoS 攻击主è¦�æ�¥æº�地的榜首é™�至第三ä½�。å�–而代之的是,ä½�于德国的 Drei-K-Tech-GmbH (AS200373)(å�ˆå�� 3xK Tech)跃å�‡å…ä½�,æˆ�为第一大 HTTP DDoS 攻击æ�¥æº�。ä½�于美国的 DigitalOcean (AS14061) 上å�‡ä¸€ä½�至第二ä½�。
HTTP DDoS 攻击的�大 ASN ��
如上图所示,所列 10 个 ASN ä¸çš„ 8 个æ��供虚拟机 (VM)ã€�托管或云æœ�务,这表明基于虚拟机的僵尸网络使用普é��。æ�®ä¼°è®¡ï¼Œè¿™äº›åƒµå°¸ç½‘络比基于物è�”网的僵尸网络强大 5000 å€�。å�ªæœ‰ Drei (AS200373) å’Œ ChinaNet Backbone (AS4134) 主è¦�是 ISP 或电信è¿�è�¥å•†ï¼Œæ²¡æœ‰é‡�è¦�的的公共虚拟机/云产å“�。
基于物�网的僵尸网络 vs 基于虚拟机的僵尸网络
为了帮助托管æœ�务æ��供商ã€�云计算æ��供商和任何互è�”网æœ�务æ��供商识别并关é—å�‘起这些攻击的滥用å¸�户,我们利用 Cloudflare 的独特优势,å�‘æœ�务æ��供商æ��ä¾›å…�费的 DDoS 僵尸网络å¨�èƒ�æ•°æ�®æº� 。全ç�ƒå·²æœ‰ 600 多家机构注册使用该情报æº�,我们已è§�è¯�整个行业社区通过密切å��作æˆ�功å°�ç¦�了大é‡�僵尸网络节点。这得益于该å¨�èƒ�情报æº�为这些æœ�务æ��供商æ��供了一份è¿�规 IP 地å�€åˆ—表——我们监测到在 ASN 内部å�‘èµ· HTTP DDoS 攻击的地å�€ã€‚这个数æ�®æº�完全å…�费,仅需注册一个å…�费的 Cloudflare å¸�户,通过 PeeringDB 验è¯� ASN,然å�Žé€šè¿‡ API 获å�–å¨�èƒ�情报。
通过一个简�的 API 调用,�务�供商��获�其网络内的�规 IP 地�列表。下��供了一个示例�应。
{
"result": [
{
"cidr": "127.0.0.1/32",
"date": "2024-05-05T00:00:00Z",
"offense_count": 10000
},
// ... other entries ...
],
"success": true,
"errors": [],
"messages": []
}
�费互�网�务�供商 DDoS 僵尸网络��� API 的示例�应
攻击手段
防御 DDoS 僵尸网络
在 2025 年第二å£åº¦ï¼Œå¤§éƒ¨åˆ†ï¼ˆ71%)HTTP DDoS 攻击由已知僵尸网络å�‘起。由于我们è¿�è�¥ç�€ä¸€ä¸ªåºžå¤§çš„网络,并且è§�识过许多ä¸�å�Œç±»åž‹çš„æ”»å‡»å’Œåƒµå°¸ç½‘ç»œï¼Œå› æ¤èƒ½å¤Ÿå¿«é€Ÿæ£€æµ‹å¹¶é˜»æ¢è¿™äº›æ”»å‡»ã€‚通过利用实时å¨�èƒ�情报,我们的系统能够快速识别 DDoS 僵尸网络,从而有助于更有效地进行缓解。å�³ä½¿ DDoS 僵尸网络仅针对一个网站或 IP 地å�€è¿›è¡Œæ”»å‡»ï¼Œæˆ‘们的整个网络和客户群也会立å�³å�—到ä¿�护。这个实时å¨�èƒ�情报系统会éš�ç�€åƒµå°¸ç½‘络的å�˜å¼‚和节点改å�˜è€Œè‡ªé€‚应调整。
2025 年第二å£åº¦ HTTP DDoS 攻击的主è¦�手段
L3/4 攻击手段
在 2025 年第二å£åº¦ï¼ŒDNS 洪水攻击是最常è§�çš„ L3/4 攻击手段,å� 所有 L3/4 DDoS 攻击的近三分之一。SYN 洪水是第二大最常è§�的攻击手段,从第一å£åº¦çš„ 31%下é™�到第二å£åº¦çš„ 27%。
在第三ä½�,UDP 洪水攻击,å� 比从第一å£åº¦çš„ 9% 上å�‡åˆ°ç¬¬äºŒå£åº¦çš„ 13%。RST 洪水是å�¦ä¸€ç§�基于 TCP çš„ DDoS 攻击形å¼�,å� 所有 L3/4 攻击的 5%,是第四大最常è§�的攻击手段。å‰�五ä½�的最å�Žä¸€ä½�是 SSDP 洪水,å� 比 3%,尽管较上一å£åº¦çš„ 4.3% 有所下é™�,但ä»�足以将æ¤å‰�盛行的 Mirai 攻击(从第一å£åº¦çš„ 18% é™�至第二å£åº¦çš„ä»… 2%)挤出å‰�五。
2025 年第二å£åº¦æœ€å¸¸è§�çš„ L3/4 DDoS 攻击手段
�三� L3/4 层 DDoS 攻击手段详情
以下是关于三ç§�最常è§� L3/4 层 DDoS 攻击的详细信æ�¯ã€‚我们为您æ��供相关建议,包括组织应如何é�¿å…�æˆ�为å��射与放大攻击的载体,以å�Šå¦‚何在防御æ¤ç±»æ”»å‡»çš„å�Œæ—¶é�¿å…�对å�ˆæ³•æµ�é‡�é€ æˆ�å½±å“�。Cloudflare 的客户å�‡å�—到ä¿�护,å…�å�—这些攻击影å“�。
DNS 洪水攻击
类型:洪水
工作方å¼�:DNS 洪水旨在使用大é‡�çš„ DNS 查询(å�¯èƒ½æ˜¯å�ˆæ³•ã€�éš�æœºæˆ–æ ¼å¼�错误的查询)压垮 DNS æœ�务器,耗尽 CPUã€�内å˜æˆ–带宽。与放大攻击ä¸�å�Œï¼Œè¿™æ˜¯ç›´æŽ¥çš„洪水攻击,旨在é™�ä½Žæ€§èƒ½æˆ–é€ æˆ�ä¸æ–,通常通过 UDP 端å�£ 53,但有时也通过 TCP(特别是对于å�¯ç”¨äº† DNS-over-TCP 或 DNSSEC 的区域)。
如何防御:使用 Cloudflare DNS 作为主è¦�或辅助 DNS,Cloudflare DNS 防ç�«å¢™ å’Œ/或 Cloudflare Magic Transit,在查询洪水到达您的æº�站之å‰�å�¸æ”¶å’Œç¼“解。Cloudflare çš„å…¨ç�ƒç½‘络æ¯�秒处ç�†æ•°å�ƒä¸‡æ¬¡ DNS 查询,内置的 DDoS 过滤和查询缓å˜åŠŸèƒ½å�¯é˜»æ¢æ ¼å¼�错误或过多的æµ�é‡�,å�Œæ—¶å“�应å�ˆæ³•è¯·æ±‚。
如何é�¿å…�æ„�外影å“�:é�¿å…�阻æ¢æ‰€æœ‰ DNS æµ�é‡�或ç¦�用 UDP 53 端å�£ï¼Œæ¤ç±»æ“�ä½œä¼šç ´å��æ£å¸¸è§£æž�。ä¾�é� Cloudflare çš„ DNS 专用ä¿�护,例如 Advanced DNS Protection 系统,并部署支æŒ� DNSSEC çš„ä¿�护措施,以安全地处ç�†åŸºäºŽ TCP 的查询洪水。
SYN 洪水攻击
类型:洪水
工作方å¼�:在 SYN 洪水ä¸ï¼Œå¨�èƒ�行为者å�‘é€�大é‡�çš„ TCP SYN æ•°æ�®åŒ…â€”â€”é€šå¸¸å¸¦æœ‰ä¼ªé€ çš„ IP 地å�€â€”—以å�‘起永远ä¸�会完æˆ�çš„è¿žæŽ¥ã€‚è¿™ä¼šå¯¼è‡´ç›®æ ‡ç³»ç»Ÿå‡ºçŽ°å�Šå¼€è¿žæŽ¥ï¼Œæ¶ˆè€—内å˜å’Œè¿žæŽ¥è·Ÿè¸ªèµ„æº�,å�¯èƒ½è€—å°½æœ�务器å�¯ç”¨èµ„æº�,并阻æ¢çœŸæ£çš„客户端建立连接。
如何防御:使用 Cloudflare Magic Transit 在边缘拦截和缓解 TCP SYN 洪水攻击。Cloudflare 利用 SYN cookieã€�连接跟踪和行为分æž�æ�¥åŒºåˆ†çœŸå®žå®¢æˆ·ç«¯ä¸Žä¼ªé€ 或æ�¶æ„�æ�¥æº�,确ä¿�å�ˆæ³•çš„ TCP 连接æˆ�功完æˆ�。使用 Cloudflare çš„ CDN/WAF æœ�务或 Cloudflare Spectrum,它们分别是 HTTP 或 TCP çš„å��å�‘代ç�†æœ�务。使用å��å�‘代ç�†åŸºæœ¬ä¸Šå�¯ä»¥æ¶ˆé™¤åŸºäºŽ TCP çš„ DDoS 攻击的å�¯èƒ½å½±å“�。
如何é�¿å…�æ„�外影å“�:阻æ¢æ‰€æœ‰ SYN æµ�é‡�或应用过于严苛的超时设置,å�¯èƒ½æ‹¦æˆªçœŸå®žç”¨æˆ·ã€‚相å��,您å�¯ä»¥ä¾�é� Cloudflare 的高级 TCP ä¿�护系统,该系统使用 SYN 速率整形ã€�å¼‚å¸¸æ£€æµ‹å’Œä¼ªé€ æ•°æ�®åŒ…过滤æ�¥ç¼“解攻击,而ä¸�会影å“�真æ£çš„客户端连接。
UDP DDoS 攻击
类型: 洪水
工作方å¼�:å�‘ç›®æ ‡ IP 地å�€ä¸Šçš„éš�机或特定端å�£å�‘é€�大é‡� UDP æ•°æ�®åŒ…。它å�¯èƒ½è¯•å›¾ç”¨è¶…出其处ç�†èƒ½åŠ›çš„æ•°æ�®åŒ…使互è�”网链路饱和或使其è�”网设备ä¸�å ªé‡�è´Ÿï¼Œä»Žè€Œé€ æˆ�ä¸æ–或故障。
如何防御:部署基于云的容�耗尽型 DDoS 防护,例如Cloudflare Magic Transit或Cloudflare Spectrum,�以实时识别攻击��,对 UDP ��应用智能速率�制,并通过 Magic Firewall 丢弃�需�的 UDP ��。
如何é�¿å…�æ„�外影å“�:过于严苛的过滤å�¯èƒ½ä¼šä¸æ–å�ˆæ³•çš„ UDP æœ�务,如 VoIPã€�视频会议或在线游æˆ�。谨慎应用阈值。
新兴��
在 2025 年第二å£åº¦æ–°å‡ºçŽ°çš„ L3/4 DDoS å¨�èƒ�ä¸ï¼Œ Teeworlds 洪水增幅最大,环比增长 385%,其次是 RIPv1 洪水攻击 ,å�Œæ¯”增长了 296%。RDP 洪水 增长了 173%, Demon Bot 洪水 增长了 149%。甚至是å�¤è€�çš„ VxWorks 洪水攻击也å�·åœŸé‡�æ�¥ï¼Œå£åº¦çŽ¯æ¯”增长了 71%。这些显著的增长表明,å¨�èƒ�行为者ä»�在ä¸�æ–å°�试利用鲜为人知的å��议和é�—ç•™å��è®®æ�¥è§„é�¿æ ‡å‡†é˜²å¾¡æŽªæ–½ã€‚
2025 年第二å£åº¦ä¸»è¦�æ–°å…´å¨�èƒ�
主�新兴��详情
以下是 2025 年第二å£åº¦æ–°å…´å¨�èƒ�的详细信æ�¯ï¼Œå…¶ä¸å¤§éƒ¨åˆ†é‡�新利用é�žå¸¸å�¤è€�的攻击手段。我们为您æ��供相关建议,包括组织应如何é�¿å…�æˆ�为å��射与放大攻击的载体,以å�Šå¦‚何在防御æ¤ç±»æ”»å‡»çš„å�Œæ—¶é�¿å…�对å�ˆæ³•æµ�é‡�é€ æˆ�å½±å“�。Cloudflare 的客户å�‡å�—到ä¿�护,å…�å�—这些攻击影å“�。
Teeworlds DDoS 攻击
类型:洪水
工作方å¼�:Teeworlds 是一款快节å¥�ã€�å¼€æº�çš„ 2D 多人射击游æˆ�,使用基于 UDP 的自定义å��è®®æ�¥è¿›è¡Œå®žæ—¶æ¸¸çŽ©ã€‚å¨�èƒ�è¡Œä¸ºè€…é€šè¿‡ä¼ªé€ æˆ–è¿‡å¤šçš„ UDP æ•°æ�®åŒ…æ·¹æ²¡ç›®æ ‡çš„æ¸¸æˆ�æœ�务器,这些数æ�®åŒ…模仿游æˆ�内的æ“�作或连接å°�试。这å�¯èƒ½ä¼šä½¿æœ�务器资æº�ä¸�å ªé‡�负,并导致延迟或ä¸æ–。
如何抵御:使用 Cloudflare Spectrum 或 Cloudflare Magic Transit æ�¥ä¿�护æœ�务器。Cloudflare 自动使用实时指纹识别检测并缓解这些类型的攻击,阻æ¢æ”»å‡»æµ�é‡�,å�Œæ—¶å…�许真实玩家通过。Magic Transit 还æ��供数æ�®åŒ…级防ç�«å¢™åŠŸèƒ½ï¼Œå�³ Magic Firewall,å�¯ç”¨äºŽè®¾ç½®è‡ªå®šä¹‰ä¿�护。
如何é�¿å…�æ„�外影å“�:在编写自定义规则时,é�¿å…�直接å°�ç¦�或过于严苛地é™�制 UDP 端å�£ 8303 çš„é€ŸçŽ‡ï¼Œå› ä¸ºè¿™ä¼šç ´å��整体游æˆ�体验。相å��,ä¾�é� 智能检测和缓解æœ�务以é�¿å…�å½±å“�å�ˆæ³•ç”¨æˆ·ã€‚
Teeworlds 丛林场景截图。��:Wikipedia
RIPv1 DDoS 攻击
类型:�射 +(低)放大
工作方å¼�:利用路由信æ�¯å��议第一版(RIPv1),这是一ç§�è€�旧的ã€�æ— èº«ä»½éªŒè¯�çš„è·�离矢é‡�路由å��议,使用 UDP/520。å¨�èƒ�行为者å�‘é€�ä¼ªé€ çš„è·¯ç”±æ›´æ–°ä»¥æ·¹æ²¡æˆ–æ··æ·†ç½‘ç»œã€‚
如何防æ¢æˆ�为å��å°„/æ”¾å¤§å…ƒç´ ï¼šåœ¨è·¯ç”±å™¨ä¸Šç¦�用 RIPv1。在需è¦�路由的情况下使用带有身份验è¯�çš„ RIPv2。
如何防御:阻æ¢æ�¥è‡ªä¸�å�—信任网络的入站 UDP/520。监控æ„�外的路由更新。
如何���外影�:RIPv1 已基本淘汰,�用该�议通常是安全的。如果旧版系统�赖于该�议,请在更改之�验�路由行为。
RDP DDoS 攻击
类型:�射 + 放大
工作方å¼�:远程桌é�¢å��议(RDP)用于远程访问 Windows 系统,通常通过 TCP 端å�£ 3389è¿�行。在æŸ�些é…�置错误或é�—留设置ä¸ï¼ŒRDP å�¯èƒ½ä¼šå“�应未ç»�身份验è¯�的连接å°�试,从而å�¯èƒ½è¢«æ»¥ç”¨äºŽå��射或放大攻击。å¨�èƒ�攻击者会å�‘暴露的æœ�务器å�‘é€�ä¼ªé€ çš„ RDP åˆ�始化数æ�®åŒ…,导致这些æœ�务器回å¤�å�—害者,从而产生大é‡�ä¸�å¿…è¦�çš„æµ�é‡�。
如何抵御:使用 Cloudflare Magic Transit ä¿�护您的网络基础设施。Magic Transit æ��ä¾› L3/L4 DDoS é˜²æŠ¤ï¼Œåœ¨æ¬ºéª—æˆ–æ ¼å¼�错误的 RDP æµ�é‡�到达æº�æœ�务器之å‰�进行过滤。对于针对性的应用层滥用,Cloudflare Gateway 或 Zero Trust 网络访问(ZTNA) å�¯å¸®åŠ©é€šè¿‡ç»�身份验è¯�的隧é�“ä¿�护远程桌é�¢è®¿é—®ã€‚
如何é�¿å…�æ„�外影å“�:如果 RDP 在积æž�使用ä¸ï¼Œè¯·å‹¿å…¨å±€å°�ç¦� TCP/3389。å�–而代之,将 RDP 访问é™�制为已知 IP 或内部网络,或使用 Cloudflare Tunnel 与 Zero Trust 网络访问(ZTNA),以完全消除公共暴露,å�Œæ—¶ç»´æŒ�å�ˆæ³•ç”¨æˆ·çš„安全访问。
DemonBot DDoS 攻击
类型:基于僵尸网络的洪水
工作方å¼�:DemonBot 是一ç§�æ�¶æ„�软件,通过开放端å�£æˆ–å¼±å‡æ�®æ„ŸæŸ“基于 Linux 的系统,尤其是ä¸�安全的 IoT 设备。一旦感染,设备就会æˆ�为僵尸网络的一部分,å�¯ä»¥å�‘起大规模的 UDPã€�TCP 和应用层洪水攻击。攻击通常由命令与控制(C2)驱动,并å�¯äº§ç”Ÿå·¨å¤§æµ�é‡�,通常针对游æˆ�ã€�托管或ä¼�业æœ�务。为了é�¿å…�感染,请使用防病毒软件和域过滤功能。
如何防御:使用 Cloudflare Magic Transit å�¸æ”¶å’Œè¿‡æ»¤å¤§è§„模网络层攻击,以防æ¢å…¶åˆ°è¾¾æ‚¨çš„基础设施。Cloudflare 的实时æµ�é‡�分æž�和基于特å¾�ç �的检测化解了æº�于å�— DemonBot 感染设备的æµ�é‡�。对于应用层æœ�务,Cloudflare DDoS 防护和 WAFå�¯ä»¥ç¼“解针对性的 HTTP 洪水和连接滥用。
如何é�¿å…�æ„�外影å“�:借助 Cloudflare 的自适应缓解æ�¥åŒºåˆ†å�ˆæ³•ç”¨æˆ·å’Œåƒµå°¸ç½‘络æµ�é‡�,而ä¸�是广泛阻æ¢æµ�é‡�类型或端å�£ã€‚结å�ˆ IP 信誉过滤ã€�地ç�†å°�é”�和速率é™�制,以å‡�少误报并维æŒ�æœ�务å�¯ç”¨æ€§ã€‚
VxWorks 洪水 DDoS 攻击
类型:洪水(基于 IoT)
工作方å¼�: VxWorks 是一款实时æ“�作系统(RTOS),在数百万个嵌入å¼�å’Œ IoT 设备(例如路由器ã€�工业控制器)ä¸ä½¿ç”¨ã€‚è¿�行过时或é…�置错误的 VxWorks 版本的设备å�¯èƒ½ä¼šè¢«å…¥ä¾µï¼Œè¿›è€Œè¢«ç”¨äºŽå�‘èµ· DDoS 攻击。一旦被感染(通常通过公共æ¼�洞利用或弱å‡æ�®ï¼‰ï¼Œè¿™äº›è®¾å¤‡å°†å�‘é€�大é‡�çš„ UDPã€�TCP 或 ICMP æµ�é‡�æ�¥åŽ‹åž®ç›®æ ‡ï¼Œç±»ä¼¼äºŽä¼ 统 IoT 僵尸网络的行为。
如何抵御:部署Cloudflare Magic Transit,在网络边缘阻æ¢è¿™äº›åºžå¤§æµ�é‡�。Cloudflare 使用实时指纹识别和专有å�¯å�‘å¼�算法æ�¥è¯†åˆ«æº�于å�—入侵 VxWorks 设备的æµ�é‡�,并进行实时缓解。对于应用æœ�务,Cloudflare çš„ DDoS 缓解和 Gateway æœ�务æ��供针对å��议级滥用的é¢�外ä¿�护。
如何é�¿å…�æ„�外影å“�:é�¿å…�è¿‡åº¦é˜»æ¢ UDP 或 ICMP æµ�é‡�ï¼Œå› ä¸ºè¿™å�¯èƒ½ä¼šä¸æ–å�ˆæ³•çš„诊æ–或实时æœ�务。相å��,使用 Cloudflare 的智能过滤ã€�速率é™�制和地ç�†/IP 信誉工具æ�¥å®‰å…¨åœ°ç¼“解攻击,å�Œæ—¶é�¿å…�对å�ˆæ³•æµ�é‡�çš„å½±å“�。
Cloudflare 的实时指纹生��程
攻击规模和æŒ�ç»æ—¶é—´
大多数 DDoS 攻击规模å°�且æŒ�ç»æ—¶é—´çŸã€‚2025 年第二å£åº¦ï¼Œ94% çš„ L3/4 DDoS 攻击未超过 500 Mbps。å�Œæ ·ï¼Œå¤§çº¦ 85% çš„ L3/4 DDoS 攻击未超过 5 万 pps。大多数 HTTP DDoS 攻击规模也ä¸�大,65% 的攻击低于æ¯�秒 5 万 rps。ä¸�过,“å°�â€�是相对而言的。
普通现代æœ�务器通常指一款通用型物ç�†æœºæˆ–虚拟机,é…�备约 4–8 个 CPU æ ¸å¿ƒï¼ˆä¾‹å¦‚è‹±ç‰¹å°”è‡³å¼º Silver 系列)ã€�16–64 GB 内å˜å’Œ 1 Gbps 网å�¡ï¼Œè¿�è¡Œ Ubuntu 或 CentOS ç‰ Linux æ“�作系统,并æ�è½½ NGINX 或类似软件。这ç§�é…�置通常å�¯å¤„ç�†çº¦ 10-50 万 pps çš„æ•°æ�®åŒ…,å�žå��é‡�最高约达 940 Mbps,在é�™æ€�内容场景下能支æŒ�约 1-10 万 rps,在数æ�®åº“支æŒ�的动æ€�应用场景下则为 500–1000 rps(具体å�–决于调优情况和工作负载)。
å�‡è®¾æ‚¨çš„æœ�务器未部署云 DDoS 防护æœ�务,那么在æµ�é‡�峰值期间若é�é�‡ “å°�规模â€� DDoS 攻击,æœ�务器很å�¯èƒ½æ— 法应对。å�³ä½¿æ˜¯â€œå°�规模â€�DDoS 攻击也å�¯èƒ½å¯¹æœªå�—ä¿�护的æœ�åŠ¡å™¨é€ æˆ�é‡�大影å“�。
2025 年第二å£åº¦ DDoS 攻击规模和æŒ�ç»æ—¶é—´
虽然大多数 DDoS 攻击规模较å°�,但超大规模 DDoS 攻击的规模和频率æ£åœ¨å¢žåŠ 。æ¯� 100 次 HTTP DDoS 攻击ä¸ï¼Œæœ‰ 6 次超过 100 万 rps,而æ¯� 1 万次 L3/4 DDoS 攻击ä¸ï¼Œæœ‰ 5 次超过 1 Tbps,环比增长 1150%。
全�最大攻击:7.3 Tbps
大多数 DDoS 攻击的æŒ�ç»æ—¶é—´éƒ½è¾ƒçŸï¼Œå�³ä¾¿æ˜¯è§„模最大ã€�强度最高的攻击也是如æ¤ã€‚å¨�èƒ�行为者常常ä¾�é� 集ä¸æµ�é‡�çš„çŸæš‚爆å�‘(有时æŒ�ç»çŸè‡³ 45 秒,例如这场规模惊人的 7.3 Tbps DDoS 攻击),旨在逃é�¿æ£€æµ‹ï¼ŒåŽ‹åž®ç›®æ ‡ï¼Œå¹¶åœ¨é˜²å¾¡æŽªæ–½å®Œå…¨å�¯åŠ¨ä¹‹å‰�é€ æˆ�æœ€å¤§ç¨‹åº¦çš„ç ´å��。这ç§�çŸæ—¶é—´ã€�高强度爆å�‘çš„ç–略,使得检测和缓解工作更具挑战性,å�Œæ—¶ä¹Ÿå‡¸æ˜¾äº†å¯¹å§‹ç»ˆå¼€å�¯çš„实时防护的需求。值得庆幸的是,Cloudflare 的自主 DDoS 防御系统会立å�³å�¯åŠ¨ã€‚
帮助构建更好的互�网
在 Cloudflare,我们致力于帮助构建更好的互è�”网。该使命的一部分是æ��ä¾›å…�è´¹ã€�ä¸�计é‡�çš„ DDoS é˜²æŠ¤ï¼Œæ— è®ºæ”»å‡»çš„è§„æ¨¡ã€�æŒ�ç»æ—¶é—´å’Œæ•°é‡�如何。我们ä¸�仅仅防御 DDoS 攻击。最佳的防御是有力的进攻,通过我们å…�费的 ISP 僵尸网络å¨�èƒ�情报æº�,我们助力僵尸网络的清除工作。
虽然许多人�然被动地采��护措施或�赖过时的解决方案,但我们的数�表明,始终�用的主动安全措施�有效得多。�托覆盖 330 多个城市�总容�达 388 Tbps 的全�网络,我们为�供自动化�内�且�实战验�的全方� DDoS 攻击防御。
