万维导航

2 月 6 日消息，当地时间 2 月 5 日，Cloudflare 披露了 2025 年第四季度以及全年 DDoS 攻击态势。

报告指出，2025 年 DDoS 攻击规模与频率双双刷新纪录：全年攻击总量达到 4710 万次，同比增长 121%，Cloudflare 平均每小时自动缓解 5376 次 DDoS 攻击。

与此同时，2025 年还出现了已知公开“最大规模”的 DDoS 攻击事件 —— 峰值达到 31.4Tbps，但持续时间仅 35 秒。

2025 年 DDoS 攻击暴增：全年总量翻倍至 4710 万次

报告显示，2025 年 DDoS 攻击达到 4710 万次。与 2023 年相比，2023 至 2025 两年间 DDoS 攻击量累计增长 236%。Cloudflare 在 2025 年平均每小时缓解 5376 次攻击，其中 3925 次为网络层（Network-layer）攻击，1451 次为 HTTP DDoS 攻击。

从增长结构看，网络层攻击是 2025 年最大的增量来源。Cloudflare 表示，2025 年其缓解的网络层 DDoS 攻击达到 3440 万次，而 2024 年为 1140 万次，相当于同比增长超过两倍，并呈现“超过三倍”的增长趋势。

第一季度曾遭 18 天多向量攻势：1350 万次攻击指向关键网络基础设施

Cloudflare 披露，2025 年网络层攻击中约有 1350 万次指向其保护的全球互联网基础设施（包括 Cloudflare Magic Transit 客户及 Cloudflare 自身基础设施），这些攻击属于 2025 年第一季度一场持续 18 天的大规模 DDoS 行动。

其中，690 万次攻击针对 Magic Transit 客户，另有 660 万次攻击直接指向 Cloudflare。该行动为多向量攻击，包含 SYN Flood、Mirai 生成的 DDoS 攻击以及 SSDP 放大攻击等。

Cloudflare 称，其系统自动检测并缓解了相关攻击，并表示其直到准备 2025 年 Q1 报告时才意识到该活动规模。

2025 年 Q4：攻击量环比增长 31%，网络层攻击占比达 78%

报告显示，2025 年第四季度 DDoS 攻击数量环比增长 31%，同比增长 58%。在该季度中，网络层攻击占全部 DDoS 攻击的 78%。虽然 HTTP DDoS 攻击的数量整体保持不变，但其“规模”显著放大。

Cloudflare 称，这类攻击的强度已达到自 2023 年 HTTP/2 Rapid Reset 攻击潮以来的最高水平，主要由 Aisuru-Kimwolf 僵尸网络推动。

“圣诞前夜”行动：205Mrps 超大规模 HTTP 洪泛

Cloudflare 将 2025 年第四季度的一轮密集攻击称为“The Night Before Christmas（圣诞前夜）”行动。

本轮攻击行动于 2025 年 12 月 19 日开始，由 Aisuru-Kimwolf 僵尸网络对 Cloudflare 客户以及 Cloudflare 基础设施发起超大规模 HTTP DDoS 攻击，其攻击峰值超过 2000 万请求 / 秒（20Mrps）。

Cloudflare 称，该僵尸网络主要由感染恶意软件的 Android 电视组成，估计感染主机规模约为 100 万至 400 万台，并具备“瘫痪关键基础设施、压垮传统云端 DDoS 防护、甚至扰乱整个国家网络连接”的能力。

在该行动期间，Cloudflare 的自动化系统共检测并缓解 902 次超大规模 DDoS 攻击（注：平均每天 53 次），包括：

• 384 次以数据包为主的攻击

• 329 次以带宽为主的攻击

• 189 次以请求为主的攻击

Cloudflare 还披露，该行动中超大规模攻击的平均强度为：

• 3 Bpps（十亿包 / 秒）

• 4 Tbps

• 54 Mrps

峰值则达到：

• 9 Bpps

• 24 Tbps

• 205 Mrps

31.4Tbps 刷新纪录，但攻击仅持续 35 秒

2025 年超大规模 DDoS 攻击持续上升。仅在 2025 年第四季度，该类攻击数量就较上一季度增加 40%。

Cloudflare 称，随着攻击数量增加，攻击强度也快速提升。与 2024 年末的大型攻击相比，2025 年的攻击规模增长超过 700%。其中一次攻击峰值达到 31.4Tbps，并且持续时间仅 35 秒。Cloudflare 表示，这一攻击同样由其自动化 DDoS 防御系统检测并缓解。

电信行业成最大目标：游戏与生成式 AI 服务也被高频攻击

从行业维度看，Cloudflare 称 2025 年最常遭受 DDoS 攻击的行业为：

• Telecommunications, Service Providers and Carriers（电信、服务提供商与运营商）

这一排名取代了此前长期位居首位的 Information Technology & Services（IT 与服务）行业。

此外，Gambling & Casinos（博彩与赌场）以及 Gaming（游戏）分列第三、第四。报告还指出，提供生成式 AI 服务的客户也遭受大量超大规模攻击。

受攻击地区：香港升至全球第二，英国暴涨 36 位至第六

Cloudflare 表示，2025 年 Q4 全球最常被攻击的地区包括中国、德国、巴西与美国等“长期热点”；而中国香港排名上升 12 位，跃升为全球第二大受攻击地区；英国排名上升 36 位，成为全球第六大受攻击地区；越南排名第七，阿塞拜疆第八，印度第九，新加坡第十。

攻击来源：孟加拉取代印尼成第一，阿根廷暴涨 20 位

在攻击来源国家 / 地区方面，Cloudflare 称：

• 孟加拉在 2025 年 Q4 成为最大的 DDoS 攻击来源

• 厄瓜多尔升至第二

• 印尼从第一跌至第三（此前曾连续一年居首）

• 阿根廷排名暴涨 20 位，成为第四大攻击来源

源网络特征：云平台与电信运营商共同构成“主力通道”

在攻击源网络（ASN）层面，Cloudflare 指出，DDoS 攻击大量来自云计算平台与云基础设施提供商的 IP 地址，例如 DigitalOcean、微软、腾讯、甲骨文、Hetzner 等。

报告认为，这反映出攻击者与“易于快速租用的虚拟机资源”之间存在强关联。与此同时，传统电信运营商网络同样占据较大比例，主要来自亚太地区。Cloudflare 强调，现代 DDoS 攻击往往涉及数千个不同 ASN，显示出僵尸网络节点的高度全球化分布。

Cloudflare：已向服务提供商提供免费僵尸网络威胁情报源

Cloudflare 表示，为协助托管服务商、云平台与 ISP 识别并下架滥用 IP 地址 / 账户，其提供免费的 DDoS Botnet Threat Feed。报告称，目前全球已有超过 800 个网络加入该情报源，并在社区协作中取得一定效果。

报告结论：DDoS 规模与复杂度持续突破，组织需重新评估防护策略

Cloudflare 强调，DDoS 攻击的规模与复杂度正快速增长，已超过过去的可想象范围。对于依赖本地硬件设备或传统清洗中心的组织，可能需要重新评估其防御策略。Cloudflare 称，其将继续为所有客户提供免费、无计量的 DDoS 防护能力，无论攻击规模、持续时间或流量大小。