2025 年 DDoS 攻击趋势白皮书

摘要 2024年网络安全领域的特点是网络攻击的频率和复杂性急剧上升，地缘政治事件（如俄乌冲突、印度及欧盟选举）成为针对性攻击的催化剂，其中分布式拒绝服务（DDoS）攻击尤为突出。这主要归因于日益自动化和人工智能驱动的黑客技术，AI的融入既带来机遇也加剧风险：攻击者利用AI提升了攻击的复杂性，包括使用生成式AI模型制作更具欺骗性的钓鱼诱饵和开发恶意软件。这种演变降低了网络犯罪的入行门槛，使社会工程学攻击更加有效，同时也帮助经验丰富的攻击者更精准地识别系统漏洞。 快快网络DDoS安全团队监测数据显示（2024年）： •国内攻击烈度激增：中国全年遭受DDoS攻击超307万次，同比增长89.7%，浙江、广东、湖南成重灾区。 •攻击规模再创新高：快快网络防护的国内DDoS攻击带宽规模创历史新高，攻击流量峰值达到2350 Gbps(2.35 Tbps)，这是迄今为止国内监测到的最大规模的攻击。 •瞬时泛洪攻击保持秒级加速态势：瞬时泛洪攻击仅需2秒即可攀升至近400Gbps，而T级攻击也仅需10秒即可达到峰值，400Gbps至T级的攻击流量远超传统防御阈值，攻击资源集中且破坏力极强。 DDoS攻击作为全球网络安全的核心威胁之一，其技术迭代与攻击规模持续突破防御边界。本白皮书基于快快网络DDoS安全团队对全球及中国本土攻击态势的深度监测，旨在揭示2024年攻击演进规律、预测2025年威胁趋势，并为企业提供可落地的防护框架。 1.2024年全球DDoS攻击情况 1.1.总体趋势 2024年，DDoS攻击依旧呈现强劲增长态势。全球DDoS攻击次数达1787万次，同比增长43.3%。 90%以上的攻击持续时间不足10分钟，但最长攻击持续16小时，服务中断风险加剧。小于100Gpbs的小规模攻击次数同比激增146%，攻击者更倾向于通过低强度的持续攻击消耗防御资源，这种策略对防护能力较弱的企业构成了巨大的威胁。 2024年10月的攻击带宽规模创历史新高，最大单次攻击峰值突破5.6Tbps，涉及1.3万台IoT设备，攻击持续80秒，凸显攻击效率提升。此外，6月、8月、12月等时段的最大攻击带宽也突破了1Tbps，集中在电商大促、暑期流量高峰和年末结算期等关键商业周期。这一趋势显示出攻击者越来越重视利用节假日和业务高峰期发动攻击。因此，企业在这些时期需要更加关注DDoS攻击的防护，确保防御能力能应对不同攻击模式。 1.2.攻击类型 网络层攻击（L3/L4）占比49%，其中UDP Flood（61%）、TCPFlood（18%）和SYNFlood（11%）为主要手段，攻击目标集中于游戏、科技和电信行业。此类攻击在2024年规模持续扩大，平均攻击 流 量 较2023年 增 长120%， 且 欧 洲 成 为 重 灾 区 ， 承 担 了 全球 44.5%的网络层攻击流量。 应用层攻击（L7）占比51%，以HTTP Flood（73%）为核心形式，主要针对金融、电商和媒体行业。值得注意的是，应用层攻击通过滥用HTTP/2 Rapid Reset等漏洞，对金融和公共事业等关键基础设施形成持续威胁，部分攻击请求速率甚至超过1600万次/秒。 1.3.地域分布 1.3.1.主要来源国 美国是DDoS攻击的主要来源国，占全球攻击流量的35.1%。攻击者不仅针对其他国家，还频繁对本国目标发起攻击。中国是第二大攻击来源国，占全球攻击流量的21.7%，日本、俄罗斯、德国位列前五。 这些地区暴露的基础设施(如未加固的反射源)常被攻击者利用，成为反射DDoS攻击的中转站。虽然这些地区的攻击流量较大，但并不意味着攻击行为直接来自这些地区。企业应加强基础设施防护，特别是防止常见反射协议(如DNS、NTP等)被滥用，采取措施关闭不必要的端口、加固服务认证，部署必要的流量过滤策略，减少互联网服务成为反射攻击源的风险。同时，对于全球范围 部署的应用服务，建议采用分布式的接入架构和防护机制，本地化处理流量，以尽可能隔离不同区域间的攻击风险。 1.3.2.主要攻击目标地域 2024年，东南亚新兴市场（越南、印尼）攻击量激增200%，与其数字化进程加速直接相关。欧洲（尤其是乌克兰）和中东（尤其是以色列）因地缘政治冲突成为攻击热点，而亚太地区（如印度和台湾）也因政治事件频繁遭受攻击。 北美地区尤其是美国，占比22.9%，是第一大攻击目标。中国第二，遭受攻击次数占比17.2%，其次分别为新加坡、德国、中国香港。 1.4.目标行业 2024年，AGI和大模型相关行业成为攻击新对象，包括针对智能语音、智慧助手、内容生成等行业的DDoS攻击明显增多，最大攻击超过3Tbps。电信行业成为攻击的主要目标，占比达到39%。攻击者利用UDP放大和DNS洪水等攻击手段，试图破坏关键基础设施和服务。互联网行业依然是DDoS攻击的第二大目标，占比28%，其 他DDoS攻 击 目 标 行 业 包 括 金 融 （14.2%） 、 医 疗 保 健（11.5%）、政府（8.64%）、运输和物流（3.09%）。 2.2024年国内DDoS攻击情况 2.1.国内攻击情况 2024年，攻击频次逐年增长，T级攻击频次空前激增，攻防对抗加剧。中国全年遭受DDoS攻击307万次，占全球17.2%，同比增速（89.7%）超全球平均水平。 2.2.瞬时攻击速度 2024年，瞬时泛洪攻击保持秒级加速态势，对网络安全防护提出了更高要求，亟需技术创新与策略优化以应对这一威胁。 瞬时泛洪攻击仅需2秒即可攀升至近400Gbps，而T级攻击也仅需10秒即可达到峰值，400Gbps至T级的攻击流量远超传统防御阈值，攻击资源集中且破坏力极强。这表明攻击者利用高度自动化的工具或僵尸网络，能够在短时间内发起大规模流量冲击，防御系 统的响应窗口被大幅压缩。 未来DDoS攻击将向瞬时化、超大规模化发展，现有基于人工干预或分钟级响应的DDoS缓解机制可能失效，需提前布局弹性基础设施与主动防御体系，如实时流量分析、AI驱动的自动化清洗技术，以及边缘网络的协同防御能力。 2.3.攻击目标地域 2024年 中 国 遭 受DDoS攻 击 最 多 的 地 域 为 浙 江 ， 占 全 国29.7%，其次为广东、湖南、江苏、福建、山东、湖北、上海、四川、河南。 2.4.攻击目标行业 攻击方式以DNS反射和TCP反射为主，持续时间短，但周期较长。互联网行业中的数据服务、基础设施及服务、社交平台、游戏服务依旧是DDoS攻击的重灾区，占比达到74.9%。其次为金融、新零售商、政府和公共事业。 3.快快网络DDoS态势观察 2024年DDoS攻击在技术复杂度、攻击规模和目标选择性上均显著升级。应用层攻击主导威胁格局，僵尸网络技术更隐蔽，滋扰网络和DDoS即服务进一步推动攻击民主化。防御需转向动态化、智能化，并加强跨平台威胁情报协作，以应对日益协同化和高强度的攻击态势。 3.1.攻击情况 2024年，快快网络共计成功防护125.9万起DDoS网络攻击，同比增长115.6%。 2024年，10月的攻击带宽规模创历史新高，攻击流量峰值达到2350 Gbps(2.35 Tbps)，这是迄今为止国内监测到的最大规模的攻击。此次T级DDoS攻击持续了83秒，攻击者采用了多种攻击手段，包括SYN Flood、UDP Flood等传统攻击方式，并利用了HTTP/2快 速 重 置 进 行 应 用 层DDoS攻 击 的0day漏 洞(CVE-2023-44487)。这次攻击不仅在规模上创下了新高，并且还采用新型攻击策略，这些攻击手法的结合使得攻击流量在短时间内急剧上升，对目标网络的稳定性和可用性构成了严重威胁。 3.2.攻击类型 在攻击类型的分布上，SYN Flood攻击占据低成本攻击的主导地位，特别是在100 Gbps以下的规模中占比58%。而UDP Flood则主导了中等规模的攻击，100-300 Gbps攻击中占比91%，大于300Gbps的攻击中占比69%。对传统协议漏洞的利用仍然是攻击的主要形态，对反射攻击的防护仍然是互联网服务应对DDoS防护的核心要求。 2024年，网络层DDoS攻击的强度和持续时间显著增加，平均攻击持续时间较2023年增长37%。“低慢速”攻击策略在2024年增加了38%，平均持续时间为9.7小时。 2024年，DNS洪水攻击的数量达到了前所未有的水平，较前一年增长了97%。这标志着2024年成为网络威胁演变的关键一年，尤 其是第7层DNS DoS攻击的显著增长。金融行业承受了这一演变的主要冲击，占L7 DNS攻击活动总量的44%。其他显著受影响的行业包括医疗保健（13%）和电信（10%）。UDP和DNS放大攻击继续主导基于流量的DDoS攻击，其中仅DNS放大攻击就占所有放大攻击的65%。 3.3.攻击行业 云基础设施和数据服务行业已成为攻击的首要目标。最新数据显示，该领域遭受的攻击占比超过50%，远超其他各行业。随着企业业务不断向云端迁移，确保云基础设施和数据服务的安全变得至关重要。攻击者不仅旨在窃取敏感数据，更企图通过攻击这些服务来干扰企业的正常运营和损害其声誉。因此，云服务提供商和用户 必须强化安全防护措施，提高对潜在威胁的识别与应对能力，以应对日益严峻的网络安全挑战。 3.4.技术演变 3.4.1.攻击源与僵尸网络演化 DDoS攻击规模化与溯源难度升级。僵尸网络规模显著扩大，攻击源伪装技术进一步升级。2024年，中国境内因智能摄像头供应链漏洞遭控的IoT设备超120万台，被整合为DDoS僵尸网络，单次僵尸网络最大节点数达28万。同时，43%的DDoS攻击流量通过境外代理节点中转，主要利用俄罗斯、越南等地的云主机伪造源IP。此类技术降低了攻击溯源效率，加剧了防御难度。 3.4.2.AI驱动的攻击链自动化 DDoS攻击动态化与隐蔽性增强。AI技术深度渗透攻击链，推动攻击自动化和隐蔽性提升。生成对抗网络（GAN）动态生成HTTP请求、用户会话ID等参数，使DDoS流量特征与正常用户相似度达92%。攻击工具（如Mirai变种Katana）集成NLP模型，自动生成钓鱼邮件诱导员工点击，触发内网设备加入DDoS僵尸网络。2024年，37%的自动化攻击工具支持“DDoS+漏洞利用”一键切换，生成式AI更被用于伪造合法流量特征以绕过规则引擎 3.4.3.多向量组合攻击 DDoS攻击与勒索软件、数据窃取深度结合，形成“瘫痪-勒索- 泄密”三位一体威胁，65%的DDoS攻击事件伴随勒索软件或数据窃取行为。某金融机构在遭遇1600万RPS的HTTP/2洪水攻击后，系统被植入勒索程序并窃取客户数据。此类多向量攻击大幅增加防御复杂度，需跨安全层协同响应。 4.典型攻防对抗案例 4.1.案例一：某头部游戏公司 4.1.1.事件描述 2024年10月，某头部游戏公司遭遇持续83秒的混合型DDoS攻击，攻击峰值达2.35Tbps。攻击者采用了多种攻击手段，包括SYNFlood、UDP Flood等传统攻击方式，并利用了HTTP/2快速重置进行应用层DDoS攻击的0day漏洞(CVE-2023-44487)。这次攻击不仅在规模上创下了新高，并且采用新型攻击策略，这些攻击手法的结合使得攻击流量在短时间内急剧上升，对目标网络的稳定性和可用性构成了严重威胁。 4.1.2.防护难度 1.多向量混合攻击：同时发动传输层反射攻击与应用层协议攻击 2.智能规避策略：攻击流量模拟正常玩家行为特征，传统规则引擎难以识别 3.全球化攻击源：超过50个国家的云服务IP参与攻击，难以实施地域封禁 4.1.3.快快网络解决方案 1.边缘防护与实时过滤：在网络边缘部署DDoS防护设备，对流量进行实时监控和初步过滤，以阻断明显的恶意流量 2.AI驱动的行为分析与动态防御：基于玩家操作时序构建行为指纹库，实时比对流 量特征识别异常会话并阻挡恶意流量 3.智能流量牵引与云端清洗：采用