欢迎阅读第 21 版 Cloudflare DDoS 威胁形势报告。本报告每季度发布一次,基于来自 Cloudflare 网络的数据,就不断演变的分布式拒绝服务(DDoS)攻击威胁形势提供全面分析。本版报告重点关注 2025 年第一季度。要查看过去的报告,请访问 www.ddosreport.com 。
虽然本报告主要关注 2025 年第一季度的情况,但也包含 2025 年 4 月观察到的一次超大规模 DDoS 活动的最新数据,其中包括有史以来公开披露的一些最大型的攻击。在这一历史性的攻击高峰期,我们成功阻止了有史以来数据包速率最高的一次攻击,峰值达到 4.8 亿数据包每秒 (Bpps),比之前的基准高出 52%;此外,我们抵御了一场高达 6.5 太比特每秒 (Tbps) 的大规模洪水攻击,与有史以来公开报告的最高带宽攻击相当。
关于 DDoS 攻击的主要洞察
在 2025 年第一季度, Cloudflare 成功阻止了 2050 万次 DDoS 攻击。这个数字同比增长 358%,环比增长 198%。
在一次持续 18 天的多手段攻击活动中,约三分之一(660 万次)的攻击直接针对Cloudflare 网络基础设施。
此外,在 2025 年第一季度,Cloudflare 阻止了约 700 次超大流量 DDoS 攻击,这些攻击的流量超过了 1 Tbps 或 1 Bpps——平均每天约 8 次。
所有攻击均被我们自主防御系统成功阻止。
要详细了解 DDoS 攻击和其他类型的网络威胁,请访问我们的学习中心。请访问 Cloudflare Radar 以查看本报告的交互式版本,并进一步深入探索有关数据。对于有兴趣研究互联网趋势的用户,我们提供一个免费的 API 。您还可以进一步了解在编制这些报告时所使用的方法。
DDoS 攻击统计数据
2025 年第一季度,我们拦截了 2050 万次 DDoS 攻击。相比之下,在 2024 年全年,我们阻止了 2130 万次 DDoS 攻击。也就是说,过去一季度我们阻止的攻击数量就达到了 2024 年全年阻止数量的 96%。
网络层 DDoS 攻击增长最为显著。2025 年第一季度,我们阻止了 1680 万次网络层 DDoS 攻击。这个数字相当于环比增长 397%,同比增长 509%。HTTP DDoS 攻击也有所增加,环比增长 7%,同比增长 118%。
我们根据系统生成的独特实时特征来统计 DDoS 攻击。在某些情况下,一次攻击或活动可能会产生多个特征,特别是在应用了不同的缓解策略时。虽然这种计数方式有时可能导致较高的统计数字,但该指标能够有效地反映特定时期内的攻击活动整体情况。
针对 Cloudflare 网络和互联网基础设施的攻击
第一季度拦截的 2050 万次 DDoS 攻击中,1680 万次是网络层 DDoS 攻击,其中 660 万次直接针对 Cloudflare 的网络基础设施。另有 690 万次攻击针对受 Cloudflare 保护的托管服务商和服务提供商。
这些攻击是一个持续 18 天的多手段DDoS活动的一部分,该活动包括 SYN 洪水攻击、Mirai 生成的DDoS攻击 和 SSDP 放大攻击 等。与其他 2050 万次攻击一样,这些攻击都被我们的 DDoS 防御系统自主检测并阻止。
在下图中,蓝线代表针对 Cloudflare 的攻击每日总量,其他颜色代表同时受到攻击的不同托管服务提供商和使用 Cloudflare Magic Transit 服务的互联网服务提供商。
超大容量 DDoS 攻击
超大规模 DDoS 攻击是指流量超过 1-2 Tbps 或 1 Bpps 的攻击。2025 年第一季度,我们阻止了 700 多次此类攻击。大约每 10 万次网络层 DDoS 攻击中就有 4 次为超大规模攻击。超大规模 DDoS 攻击往往通过 UDP 进行。
超大流量攻击延续到第二季度
虽然本报告主要关注 2025 年第一季度,但我们认为有必要强调延续到第二季度的重大破纪录 DDoS 攻击。因此,我们在报告中纳入了对该攻击活动的初步分析。
2025 年 4 月下旬,Cloudflare 的系统自动检测并阻止了数十次超大流量 DDoS 攻击。最大的攻击峰值达到 4.8 Bpps 和 6.5 Tbps,这些峰值通常持续 35 到 45 秒。按 6.5 Tbps 的水平,这次攻击与迄今已公开披露的最大 DDoS 攻击已不相上下。从数据包强度角度来看,上述 4.8 Bpps 攻击是有史以来披露的最大攻击,比之前的 3.15 Bpps 记录高出大约 52%。
这些攻击源于 147 个国家/地区,目标是一家受 Cloudflare Magic Transit 保护的托管提供商的多个 IP 地址和端口。这些攻击均被 Cloudflare 网络成功阻止。
威胁行为者
受到 DDoS 攻击的 Cloudflare 客户接受调查时,大多数表示并不知道是谁发起了攻击。在了解攻击者的受访者中,有 39% 表示其竞争对手是攻击背后的首要威胁行为者,与上季度情况类似。这在游戏和泛娱乐行业中相当常见。
另有 17% 的受访者表示,国家级或政府支持的威胁行为者是攻击的幕后黑手;类似比例的受访者表示,心怀不满的用户或客户是攻击的幕后黑手。
另有 11% 的受访者表示他们无意中对自身发起了 DDoS 攻击(自我 DDoS),还有相似比例的受访者称攻击背后是勒索者。6% 的受访者表示,攻击是由心怀不满的员工或前员工发起的。
DDoS 攻击剖析
在网络层,SYN 洪水仍然是最常见的 3/4 层 DDoS 攻击手段,其次是 DNS 洪水攻击。Mirai 发起的DDoS攻击占据第三位,取代了 UDP洪水 攻击。
在 HTTP 领域,超过 60% 被识别并阻止的攻击来自已知的僵尸网络,21% 是具有可疑 HTTP 属性的攻击,另外 10% 是由冒充浏览器的发起的,其余 8% 是一般洪水、异常请求模式和缓存破坏攻击。
新兴威胁
2025 年第一季度,CLDAP 反射/放大攻击环比增长 3488%。CLDAP(无连接轻量级目录访问协议)是LDAP(轻量级目录访问协议)的一种变体,用于查询和修改在IP网络上运行的目录服务。CLDAP 是无连接的,使用 UDP 而不是 TCP,使其更快但可靠性较低。由于它使用 UDP,不需要握手,这让攻击者可以伪造源 IP 地址,将其作为一种反射手段加以利用。这些攻击使用伪造的源 IP 地址(受害者的 IP)发送小型查询,导致服务器向受害者发送大型响应,使其不堪重负。缓解措施涉及过滤和监控异常的 CLDAP 流量。
我们还发现 ESP 反射/放大攻击环比增长 2301%。ESP(封装安全有效负载)协议是 IPsec 的一部分,为网络通信提供机密性、身份验证和完整性保护。然而,如果恶意行为者利用配置错误或易受攻击的系统来反射或放大流向目标的流量,则它可能在DDoS攻击中被滥用,从而导致服务中断。与其他协议一样,保护和正确配置使用 ESP 的系统对于防范 DDoS 攻击的风险至关重要。
攻击规模和持续时间
尽管超大容量攻击有所增加,但大多数 DDoS 攻击规模较小。2025 年第一季度,99% 的第 3/4 层 DDoS 攻击低于 1 Gbps 和 1 Mpps。同样,94% 的 HTTP DDoS 攻击为每秒 100 万个请求 (rps)。然而,“小”是相对概念,大多数互联网资产即使面对这些小规模攻击也无法承受。这些攻击可以轻松地使未受保护的互联网链路饱和并使未受保护的服务器崩溃。
此外,大多数攻击持续时间都非常短。89% 的第 3/4 层 DDoS 攻击和 75% 的 HTTP DDoS 攻击在 10 分钟内结束。即使是最大、破纪录的超大规模 DDoS 攻击持续时间也可能非常短,比如上述示例中那次仅持续 35 秒的攻击。35 秒,甚至 10 分钟,都不足以手动缓解或激活按需解决方案:当安全分析师收到警报并分析攻击时,攻击已经结束了。虽然攻击可能持续时间非常短,但攻击所产生的连锁效应会导致网络和应用故障,恢复时间可能长达数天——在此期间服务处于中断或降级状态。从目前的威胁形势来看,已经没有给人为干预留下时间了。检测和缓解措施应当始终在线、内联且自动化——具备足够的容量和全球覆盖范围,以同时处理攻击流量和高峰期的合法流量。
另一方面,超过 1 Mrps 的超大容量 HTTP DDoS 攻击所占份额翻了一番。2025 年第一季度,每 100 次 HTTP DDoS 攻击中,就有 6 次超过了 1 Mrps。在网络层,每 10 万次攻击中就有 1 次超过 1 Tbps 或 1 Bpps。
攻击示例
其中一个此类攻击针对一位 Cloudflare Magic Transit 客户。该客户是一家设在美国的托管服务提供商,其解决方案包括网络服务器、 IP 语音 (VoIP) 服务器以及游戏服务器。这次特定攻击以端口 27015 为目标。这个端口最常与多人游戏服务器相关联,特别是 Valve 的 Source 引擎游戏,如《反恐精英:全球攻势》(CS:GO)、《团队要塞 2》、《盖瑞模组》、《求生之路》和《半条命 2:死亡竞赛》。
它用于游戏服务器连接,让客户端连接到服务器以进行在线游戏。在许多情况下,根据游戏类型和通信需求,该端口同时对 UDP 和 TCP 协议开放。该客户遭受了多次超大流量攻击,这些攻击均被 Cloudflare 自动拦截。
受攻击最多的国家/地区
2025年第一季度,全球受攻击最严重的十大地区排名出现了显著变化。德国排名大幅跃升,上升了 4 位,成为受攻击最严重的国家。土耳其也飙升了 11 位,位居第二。第三位是中国大陆,与上一季度相比下降了两位,而中国香港排名保持不变。印度上升了 4 位,巴西保持不变。中国台湾下降了 4 位。菲律宾降幅最大,下降了 6 位。然而,韩国和印度尼西亚均各上升了 2 位。
受攻击最多的行业
2025 年第一季度受攻击最严重的十大行业排名出现了一些值得注意的变化。泛娱乐行业跃升 4 位,成为受攻击最严重的行业,而电信、服务提供商和运营商行业则下降了 1 位。信息技术和服务以及互联网行业均出现轻微波动,分别上升一位和下降两位。游戏和银行和金融服务行业均上升了一位,而网络安全行业与上一季度相比大幅跃升了 37 位。零售业略降一位,而制造业、机械、技术和工程行业上升 28 位。其中航空航天行业的增幅最大,上升了 40 位,进入受攻击最严重行业榜单的第 10 位。
主要攻击来源
2025 年第一季度十大 DDoS 攻击来源排名也发生了明显变化。中国香港飙升至第一位,比上一季度上升 3 位。印度尼西亚微幅下降到第二位,而阿根廷上升 1 位到第三位。新加坡下降 1 位至第四位,乌克兰下降 1 位至第五位。巴西实现了惊人的飞跃,上升 7 位至第六位,泰国紧随其后,也上升 7 位至第七位。德国的排名也有所上升,上升了 2 位,达到第八位。越南的上升幅度最大,上升 15 位,排名第九位,而保加利亚也位居前列,下降 2 位,排名第十位。
主要攻击来源 ASN
ASN(自治系统编号)是分配给一个网络或一组 IP 网络(在互联网上按单个路由策略运行)的唯一标识符。它用于在不同系统之间使用 BGP(边界网关协议) 等协议交换路由信息。
当研究 DDoS 攻击——特别是 HTTP DDoS 攻击时的来源时,有几个自治系统格外突出。2025 年第一季度,位于德国的 Hetzner(AS24940) 保持了作为最大 HTTP DDoS 攻击来源的位置。其次是法国的 OVH (AS16276),排名第二,美国的 DigitalOcean (AS14061) 排名第三,另一家德国的提供商 Contabo (AS51167) 排名第四。
其他主要来源包括中国的 ChinaNet Backbone (AS4134) 和腾讯 (AS132203)、奥地利的 Drei (AS200373),以及前十的最后三位:三家美国提供商——Microsoft (AS8075)、Oracle (AS31898) 和 Google Cloud Platform (AS396982)。这份排名中的大多数网络都是知名的云计算或托管提供商,这突显了云基础设施如何经常被利用——无论是有意还是通过漏洞利用——来发起 DDoS 攻击。
为了帮助托管服务提供商、云计算提供商和任何互联网服务提供商识别并关闭发起这些攻击的滥用帐户,我们利用 Cloudflare 的独特优势,向服务提供商提供免费的 DDoS 僵死网络威胁数据源 。全球已有 600 多家组织注册以使用这个数据源。它向服务提供商提供了一份清单,列出其 ASN 中我们观察到发起 HTTP DDoS 攻击的违规 IP地址。它完全免费,仅需打开一个免费的 Cloudflare帐户,通过 PeeringDB 验证 ASN,然后通过 API 获取威胁情报。
帮助构建更好的互联网
Cloudflare 的使命是帮助构建更好的互联网。该承诺的一个关键部分是提供免费的 DDoS 攻击防护,以及通过提供免费工具来支持更广泛的互联网社区,帮助其他网络检测并瓦解在其基础设施内运行的僵尸网络。
随着威胁形势不断演变,我们发现许多组织仍然仅在经历攻击后才采用 DDoS 防护措施,或依赖过时的按需解决方案。相比之下,我们的数据显示,采取主动安全策略的组织具备强得多的韧性。因此,我们专注于开发自动化以及一种全面、始终开启、内联执行的安全方法,以领先于现有和新兴威胁。
在我们覆盖 335 个城市、容量高达 348 Tbps 的全球网络支持下,我们将始终致力于提供不计量、无限的 DDoS 防护,无论攻击的规模、持续时间或频率如何。