Cloudflare 2025年第三季度DDoS威胁报告——包括顶级僵尸网络Aisuru
欢迎阅读Cloudflare第23期季度DDoS威胁报告。本报告基于Cloudflare网络的数据,对分布式拒绝服务攻击不断演变的威胁态势进行了全面分析。本期我们重点关注2025年第三季度。
2025年第三季度被Aisuru僵尸网络的阴影所笼罩,其麾下拥有全球估计100万至400万台被感染主机的庞大军团。Aisuru释放了超高流量的DDoS攻击,攻击规模通常超过每秒1太比特和每秒10亿个数据包。此类攻击数量环比激增54%,平均每天发生14起超高流量攻击。攻击规模前所未有,峰值分别达到29.7 Tbps和14.1 Bpps。
核心洞察
除了Aisuru,本报告的其他关键洞察包括:
- 随着公众对AI的关注和监管审查加强,针对AI公司的DDoS攻击流量在2025年9月环比激增高达347%。
- 欧盟与中国在稀土矿产和电动汽车关税问题上的贸易紧张局势升级,与2025年第三季度针对采矿、矿物和金属行业以及汽车行业的DDoS攻击显著增加同时发生。
总体而言,在2025年第三季度,Cloudflare的自防护系统共阻止了830万次DDoS攻击,相当于每小时平均阻止近3,780次DDoS攻击。DDoS攻击数量环比增长15%,同比增长40%。
数据中的DDoS攻击
截至2025年,距年底还有整整一个季度,Cloudflare已经缓解了3,620万次DDoS攻击。这相当于Cloudflare在整个2024年缓解的DDoS攻击数量的170%。
2025年第三季度,Cloudflare自动检测并缓解了830万次DDoS攻击,环比增长15%,同比增长40%。
网络层DDoS攻击在2025年第三季度占所有DDoS攻击的71%,即590万次,环比增长87%,同比增长95%。然而,HTTP DDoS攻击仅占2025年第三季度DDoS攻击的29%,即240万次,环比下降41%,同比下降17%。
在2025年第三季度,Cloudflare平均每小时缓解3,780次DDoS攻击。
Aisuru:以超复杂、超高流量DDoS攻击打破纪录
破坏性力量
Aisuru的目标包括电信提供商、游戏公司、托管服务提供商和金融服务等。正如Krebs on Security报道,它甚至导致了“(美国)广泛的互联网附带中断”,这仅仅是因为僵尸网络流量通过互联网服务提供商路由的数量。
仔细想想,如果Aisuru的攻击流量在相关ISP甚至不是攻击目标的情况下就能破坏美国部分互联网基础设施,那么当它直接瞄准未受保护或保护不足的ISP、关键基础设施、医疗保健服务、紧急服务和军事系统时,会造成什么后果。
僵尸网络租赁和DDoS数据
Aisuru的“部分”被分销商作为僵尸网络租赁提供,因此任何人都可能通过破坏骨干网络、饱和互联网链路、扰乱数百万用户并削弱对基本服务的访问,对整国造成混乱——所有这些只需花费几百到几千美元。
自2025年初以来,Cloudflare已经缓解了2,867次Aisuru攻击。仅在第三季度,Cloudflare就缓解了1,304次由Aisuru发起的超高流量攻击,环比增长54%。其中包括创世界纪录的29.7 Tbps DDoS攻击和14.1 Bpps DDoS攻击。
29.7 Tbps的攻击是一次UDP地毯式轰炸攻击,每秒平均轰炸1.5万个目标端口。这次分布式攻击随机化了各种数据包属性以试图逃避防御,但Cloudflare的缓解系统完全自动地检测并缓解了包括这次在内的所有攻击。
攻击特征
虽然大多数DDoS攻击规模相对较小,但在第三季度,超过每秒1亿个数据包的DDoS攻击数量环比增长了189%。同样,超过1 Tbps的攻击环比增长了227%。在HTTP层,每100次攻击中有4次超过每秒100万次请求。
此外,大多数攻击(71%的HTTP DDoS和89%的网络层攻击)在10分钟内结束。这对于任何人工或按需服务来说都太快,无法做出反应。一次短暂的攻击可能只持续几秒钟,但它造成的破坏可能是严重的,恢复所需时间要长得多。工程和运维团队随后会陷入一个复杂、多步骤的过程,以使关键系统重新上线,检查分布式系统中数据的一致性,并为客户恢复安全可靠的服务。
短期DDoS攻击的影响,无论是否为超高流量,都可能远超攻击持续时间本身。
主要攻击来源
十大攻击来源中有七个位于亚洲,印度尼西亚位居榜首。印度尼西亚是最大的DDoS攻击来源地,并且已在全球排名第一整整一年。在此之前,印度尼西亚也一直位居攻击来源榜单前列。
为说明印度尼西亚作为DDoS中心的崛起,在短短五年内,源自印度尼西亚的HTTP DDoS攻击请求所占比例惊人地增加了31,900%。
受攻击最严重的行业
DDoS攻击者瞄准稀土矿产
根据多家新闻媒体报道,随着第25届欧盟-中国贸易峰会就电动汽车关税、稀土出口和网络安全问题紧张局势升级,2025年第三季度针对采矿、矿物和金属行业的DDoS攻击显著增加。采矿、矿物和金属行业在全球排名中飙升了24位,成为全球受攻击第49严重的行业。
汽车行业遭遇的DDoS攻击增幅最大,仅一个季度就跃升了62位,成为全球受攻击第六严重的行业。网络安全公司也遭受了DDoS攻击的显著增加。网络安全行业跃升了17位,成为全球受攻击第13严重的行业。
DDoS攻击激增347%
2025年9月,一项托尼·布莱尔研究所的民意调查显示,英国人更倾向于将AI视为经济风险而非机遇,引发了关于自动化和信任的重大头条新闻。英国法律委员会启动了对政府使用AI的审查,这使得该月成为AI伦理、监管和生成式AI应用的头条新闻月。2025年9月,Cloudflare还观察到针对生成式AI公司的HTTP DDoS攻击流量环比激增高达347%。
前十名
在2025年第三季度,信息技术与服务位居受攻击最严重行业榜首,其次是电信,以及赌博与赌场。值得注意的是,汽车行业环比急剧飙升了62位。媒体、制作与出版行业也出现了急剧上升,紧随其后的是银行与金融服务行业、零售行业和消费电子行业。
受攻击最严重的地区
地缘政治事件与DDoS攻击活动之间存在直接关联。
“停止掠夺!”
在马尔代夫语中意为“停止掠夺!”的口号,成为2025年马尔代夫抗议活动的集结口号。抗议者走上街头反对“感知到的政府腐败和民主倒退”,抗议活动在“媒体自由终结”法案提出时达到顶峰,联合国人权事务高级专员称该法案“如果不撤回,将严重损害马尔代夫人民的媒体自由和言论自由权”。2025年马尔代夫抗议活动伴随着一连串的DDoS攻击。相应地,马尔代夫是DDoS攻击增加最多的国家。在2025年第三季度,马尔代夫跃升了125位,成为全球受攻击第38严重的国家。
“封锁一切”
全国性抗议运动“封锁一切”于2025年9月由法国工会发起,以反对马克龙总统政府的新紧缩措施、养老金制度改革和生活成本上涨。在工会呼吁协调罢工和交通封锁以使国家瘫痪的同时,网络威胁行为体以一波波DDoS攻击瞄准了法国网站和互联网服务。法国环比跃升了65位,成为全球受攻击第18严重的国家。
“在布鲁塞尔为加沙划定红线”
在更多国家的抗议活动中也观察到了DDoS攻击的增加。例如,比利时跃升了63位,成为全球受攻击第74严重的国家,当时“数万名抗议者在布鲁塞尔为加沙划定了红线”。
前十名
在2025年第三季度,中国仍然是受攻击最严重的国家,其次是土耳其和德国。本季度最显著的变化是针对美国的DDoS攻击增加,美国跃升了11位,成为受攻击第五严重的国家。菲律宾在排名前十的国家中增幅最大——跃升了20位。
攻击向量
网络层DDoS攻击
部分由Aisuru攻击推动的UDP DDoS攻击数量环比增长了231%,使其成为网络层最主要的攻击向量。DNS洪水攻击位居第二,SYN洪水攻击第三,ICMP洪水攻击第四——这四者合计占所有网络层DDoS攻击的一半以上。
尽管距离其首次大规模亮相已近10年,但Mirai DDoS攻击仍然相当普遍。每100次网络层DDoS攻击中就有近2次是由Mirai僵尸网络的变种发起的。
HTTP DDoS攻击
近70%的HTTP DDoS攻击源自Cloudflare已知的僵尸网络。这反映了我们的客户从使用Cloudflare中获得的好处之一。一旦一个僵尸网络攻击了数百万Cloudflare客户中的任何一个,所有人都会自动受到保护,免受该僵尸网络的侵害。
另外约20%的HTTP DDoS攻击源自虚假或无头浏览器,或包含可疑的HTTP属性。其余约10%是泛洪攻击、异常请求、缓存穿透攻击以及针对登录端点的攻击的组合。
为何传统DDoS解决方案不再足够
我们已进入一个DDoS攻击在复杂性和规模上迅速增长的时代——超出了我们几年前所能想象的范围。许多组织在跟上这一不断演变的威胁态势方面面临挑战。
考虑到当前的威胁态势,依赖本地缓解设备或按需清洗中心解决方案的组织可能需要重新审视其防御策略。
Cloudflare凭借其庞大的全球网络和自主DDoS缓解系统,致力于为所有客户提供免费的无计量DDoS保护,无论他们面临的DDoS攻击规模、持续时间或数量如何。
Cloudflare的连接云保护整个企业网络,帮助客户高效构建互联网规模的应用,加速任何网站或互联网应用,抵御DDoS攻击,阻止黑客入侵,并可以帮助您开启零信任之旅。