> **来源:[研报客](https://pc.yanbaoke.cn)** # DDoS 攻击威胁报告总结 ## 核心内容 DDoS 攻击在2025年经历了显著的变化,从传统的带宽对抗演变为以认知与决策速度对抗为核心。攻击者利用AI技术实现攻击的自动化、精准化与智能化,使得DDoS攻击更具隐蔽性和针对性。此外,攻击组织和僵尸网络的演变也推动了攻击手段和目标的多样化,进一步加剧了网络安全的挑战。 ## 主要观点 ### 1.1 DDoS 范式转移 - DDoS 攻击从“带宽对抗”向“认知与决策速度对抗”转变。 - AI 技术被用于侦察、攻击和规避,使得攻击生命周期显著缩短。 - 防御系统需要从流量特征识别转向全网实时感知,实现自动化威胁推理和动态策略生成。 ### 1.2 DDoS 战术策略演进 - 攻击者更加注重“精准狙击”,选择特定的业务高峰期进行攻击,以最大化破坏效果。 - API 接口成为新的攻击目标,因其“轻前端、重后端”的特性,使得攻击成本低、影响范围大。 - 攻击事件与现实世界的热点事件(如国际冲突、重大赛事、大选等)紧密相关,攻击目标集中于政府、金融、军事等关键领域。 ### 1.3 DDoS 攻击组织演进 - “老牌”攻击组织如 XorDDoS 和 Mirai 仍占主导地位,合计占比超过80%。 - “新兴”攻击组织如 HailBot、RapperBot、httpbot、NutsBot 和 chachatea 快速崛起,展现出更强的隐蔽性和快速部署能力。 - 攻击组织之间的合作日益密切,如 NoName057(16) 与 Keymous+、Mr Hamza 等组织的联合行动,显示出攻击生态的复杂性与组织化趋势。 ## 关键信息 ### 2.1 攻击强度 - 2025年DDoS攻击事件数量较2024年增长22.36%,全年整体攻击事件数量增长115.72%。 - 超大规模攻击(>500Gbps)呈现常态化趋势,5月单次攻击峰值达到2.6Tbps。 - 攻击者通过增加单包数据量来提升攻击效果,平均峰值带宽增长约30Gbps。 ### 2.2 攻击手段 - 网络层/传输层攻击中,ACK Flood 攻击占比最高(35.2%),成为当前最主要的攻击手段。 - 应用层攻击中,HTTPS Flood 攻击占比最高(45.03%),与加密通信的普及密切相关。 - 反射放大攻击中,CLDAP 反射攻击占比最高(45.52%),成为最主要的反射放大攻击手段。 - 多向量攻击趋势显著,攻击复杂度和组织化程度不断提升,2种攻击向量组合成为主要攻击形式。 ### 2.3 攻击目标 - 攻击目标地域分布中,中国占比最高(26.64%),巴西(19.68%)、土耳其(13.66%)和孟加拉(10.97%)紧随其后。 - 攻击目标服务分布中,HTTPS 服务仍为最主要目标,但 DNS 服务的攻击占比连续两年增长。 - 攻击行业主要集中在政府、金融、军事、电信等关键领域,显示攻击具有高度政治和战略意图。 ### 2.4 攻击时长 - 攻击时长主要集中在5分钟以下和1小时至24小时两个区间,占比分别为32.63%和32.98%。 - 短时攻击多用于探测和配合其他攻击,而中长时攻击则更侧重于资源消耗和业务中断。 ### 2.5 攻击资源 - 攻击源分布在152个国家,覆盖全球70%以上的国家。 - 中国、美国和俄罗斯为攻击源最多的国家,分别占比22.82%、12.50%和7.27%。 - 东南亚国家如印度尼西亚、越南、泰国等因互联网和云资源增长,攻击源数量显著增加。 ## 攻击组织与僵尸网络 ### 3.1 有组织 DDoS 攻击 - 2025年有组织 DDoS 攻击事件在4月至8月异常频繁,占全年总量的超过四分之一。 - 攻击组织包括 NoName057(16)、Keymous+、Mr Hamza、RipperSec 和 Nullsec Philippines,其中 NoName057(16) 与 Keymous+ 活跃度最高。 - 攻击组织主要针对政府、金融、军事等关键行业,显示出攻击的政治和意识形态动机。 ### 3.2 僵尸网络 - 僵尸网络家族中,XorDDoS(48.99%)和 Mirai(31.52%)仍占据主导地位。 - HailBot(81%)和 RapperBot(89%)因对 DeepSeek 的攻击而活跃度显著提升。 - 新型僵尸网络如 httpbot、NutsBot 和 chachatea 快速崛起,展现出更强的隐蔽性和攻击能力。 ## 全年攻击大事件 ### 4.1 DeepSeek 崛起背后的暗流 - 2025年1月,DeepSeek API 接口遭受大规模DDoS攻击,攻击手段以NTP和Memcached反射攻击为主。 - 攻击源主要来自美国、英国和澳大利亚,显示出全球协作的特性。 - 攻击者利用全球分布的服务器资源,以掩盖真实身份和地理位置,对网络空间秩序造成严重破坏。 ### 4.2 印巴局势升级:军事行动与DDoS攻击双重“定点打击” - 2025年4月印巴冲突升级,DDoS攻击量显著增加,5月10日攻击量激增97倍。 - 攻击者利用DDoS攻击作为军事行动的补充手段,对对方国家的电网、通信等关键基础设施造成影响。 - 冲突结束后,攻击强度有所回落,但仍显示出网络攻击在地缘政治中的重要性。 ## 总结与展望 - DDoS 攻击正逐步向智能化、精准化和组织化方向发展,对网络安全防护提出了更高要求。 - 防护体系需实现系统性演进,包括全网实时感知、自动化威胁推理和动态策略生成。 - 未来,随着AI技术的进一步发展,攻击手段和目标将更加多样化,防御能力需持续提升以应对新型威胁。