DDoS攻击威胁报告（2025版）

01 专家观点11.1DDoS逐步演变为政治诉求的重要载体21.2攻击手段呈现“传统主导、新型涌现、复合升级”的特征21.3“热点事件驱动型”DDoS攻击成为主流31.4高价值收益与地缘政治进一步促进DDoS攻击“专业化”与“商业化”4 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支机构，为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 02 DDoS攻击趋势特征52.1攻击强度62.2攻击手段72.3攻击目标102.4攻击时长13 关于伏影实验室 专注于安全威胁监测与对抗技术的研究，涵盖 APT 高级威胁、Botnet、DDoS 对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。 03 研究目标是掌握现有网络威胁，识别并追踪新型威胁，精准溯源与反制威胁，降低风险影响，为威胁对抗提供有力决策支持。 攻击资源143.1攻击源分布受数字化发展程度与治理环境影响153.2C2分布受技术、成本与政策共同影响17 采用前沿技术探索与实战对抗相结合的研究模式，协助国家单位破获 APT 攻击案件数起，全球率先发现 8 个新型 APT 攻击组织，处置 40多起涉我 APT 攻击事件，为国家重大网络安保做出突出贡献。 CONTENTS 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 04 攻击组织174.1DDoS攻击组织184.2僵尸网络27 01 05 全年攻击大事件305.1XorDDoS僵尸网络持续对我国实施DDoS攻击315.2从奥运会到TG创始人被捕：法国深陷DDoS漩涡325.3电子选战：2024美国大选背后的DDoS攻击阴霾335.4DeepSeek崛起背后的暗流：全球AI技术博弈下的 DDoS攻击35 专家观点 此外，攻击者的策略正变得日趋复杂化和多样化。他们不再满足于单一的攻击手段，而是倾向于采用复合型攻击，通过多种手段的组合来最大化攻击效果，此类复合攻击在 2024年占比达到 11.49%。例如，将网络层 / 传输层攻击（如 UDPFlood）与应用层攻击（如HTTPFlood）相结合，或协同使用僵尸网络攻击和反射放大攻击，以形成多层次、多维度的攻击浪潮。这表明攻击者不仅具有控制僵尸网络的能力，还具有控制反射器的能力，反映出DDoS 攻击正在向更复杂、更隐蔽、更高效的方向发展，攻击者不断探索新的技术手段和策略，以突破现有的防御体系。 1.1DDoS 逐步演变为政治诉求的重要载体 2024 年的 DDoS 攻击大事件表明，DDoS 攻击越来越多地被用作表达政治诉求的重要工具。攻击者通过 DDoS 攻击，能够在短时间内对目标网站造成巨大流量冲击，迫使其瘫痪，从而达到扩大事件影响力、传递政治信息的目的。 例如，在 8 月 Telegram 创始人帕维尔·杜洛夫（PavelDurov）于巴黎被捕的事件中，多个黑客组织迅速行动，通过 DDoS 攻击司法类网站来表达抗议。这些攻击成功吸引了全球媒体的关注，进一步放大了事件的社会影响。黑客组织通过这种方式，进一步吸引了全球关注，凸显了 DDoS 攻击在政治抗议中的重要作用。 1.3“热点事件驱动型”DDoS 攻击成为主流 2024 年，DDoS 攻击的监测数据显示，无论攻击者的动机是政治诉求、经济利益，还是其他目的，DDoS 攻击始终与现实世界的热点事件紧密相连，呈现出显著的“热点事件驱动型”攻击特点。这种趋势揭示了 DDoS 攻击作为一种低成本、高影响力的网络武器，在现实冲突中的广泛应用。 同样，在美国大选期间，DDoS 攻击也被频繁用于政治斗争。在多个关键时间节点，都遭遇了具有明显政治意图的 DDoS 攻击，如唐纳德·特朗普遇刺事件和总统辩论等重要时刻。攻击者通过攻击竞选网站、新闻媒体和社交媒体平台，试图干扰选举进程，影响公众舆论，甚至动摇选民信心。这些攻击不仅展示了 DDoS 技术的破坏力，还揭示了其在现代政治斗争中的战略价值。 从法国立法选举到 Telegram 创始人被捕，再到巴黎奥运会以及备受期待的《黑神话：悟空》游戏发行，每一次重大事件都成为 DDoS 攻击的“催化剂”。例如，在法国立法选举期间，多个政府网站和新闻媒体平台遭到大规模 DDoS 攻击，试图干扰选举信息的传播；而在《黑神话：悟空》发行当天，游戏服务器因 DDoS 攻击而瘫痪，导致大量玩家无法正常登录，严重影响了用户体验。 这些事件充分表明，DDoS 攻击已不再仅仅是技术层面的威胁，而是演变为一种集技术性、社会性和政治性于一体的复杂工具。未来，随着网络技术的进一步发展，DDoS 攻击的影响范围和应用场景很可能会继续扩展，成为全球政治斗争中不可忽视的一部分。因此，各国政府、企业和网络安全机构必须高度重视 DDoS 攻击的威胁，加强技术防御和法律法规建设，以应对这一日益复杂的安全挑战。 在美国大选期间，DDoS 攻击的频率和强度更是达到了新的高峰。从特朗普第一次遇刺到选战进入白热化阶段的多个重要时刻，DDoS 攻击都频繁出现。攻击目标不仅包括竞选团队的官方网站，还涉及主流媒体和社交媒体平台，试图通过阻断信息传播来影响公众舆论。 1.2攻击手段呈现“传统主导、新型涌现、复合升级”的特征 此外，在巴西 G20 里约热内卢会议期间，该国遭遇了 2024 年最猛烈的 DDoS 攻击之一，有超过 200 万个 IP 地址均遭受攻击。 2024 年，DDoS 攻击仍然以传统手段为主导，例如，网络层 / 传输层以 UDPFlood 为主，应用层以 HTTPS 攻击为主，这些经典攻击手段因其高效性和易实施性而经久不衰。与此同时，随着技术的演进，新兴攻击手段也不断出现。例如，循环攻击、GTP 反射放大攻击。这种攻击手段的出现，进一步凸显了协议安全的重要性以及攻击者对漏洞挖掘的深度。 这一系列事件无不印证了“热点事件驱动型”DDoS 攻击的日益流行。攻击者通过利用社会热点事件的高关注度和影响力，将 DDoS 攻击作为一种低成本的手段，既能迅速达成目标，又能制造广泛的社会影响。 1.4高价值收益与地缘政治进一步促进 DDoS 攻击“专业化”与“商业化” 2024 年，DDoS 攻击的目标呈现出显著的行业集中性，互联网、金融和游戏行业成为主要攻击对象。这些行业因其庞大的用户基础、高流量需求以及巨大的经济收益潜力，自然成为攻击者的首选目标。这一趋势表明，DDoS 攻击的主要动机仍然以经济利益驱动为主。然而，随着全球地缘政治冲突的不断升级以及网络战的兴起，DDoS 攻击的需求也在持续增长。攻击者不仅将其作为牟利工具，还将其视为一种战略手段，用于破坏关键基础设施或施加政治压力。经济利益与地缘政治需求的双重驱动，共同推动了“DDoS 攻击即服务”的快速迭代与升级。 监测数据显示，2024 年 DDoS 攻击组织同比 2023 年增加了 57.30%，且每个月 DDoS攻击事件均有所增长，攻击目标多以金融、游戏行业为主。另外，提供“DDoS 攻击即服务”的组织正在以惊人的速度更新其攻击手段。这些组织至少每月都会推出新的攻击技术或工具，而在攻击活动频繁的时期，更新频率甚至缩短至每周一次。无论是攻击方式的复杂性，还是资源配置的优化，都在不断升级。此外，这些攻击服务还配备了专业的客服支持团队，为“客户”提供技术咨询和售后服务。对于未能成功攻陷的目标，技术人员会进行详细分析，并对攻击策略进行调整与优化，以确保后续攻击能够达到预期效果。 DDoS 攻击趋势特征 这种高度专业化和体系化的运作模式，使得 DDoS 攻击逐渐向深度“商业化”方向发展。攻击服务不仅变得更加高效和隐蔽，还形成了一条完整的产业链，包括工具开发、资源租赁、攻击实施和售后服务等环节。未来，随着技术的进一步演进和攻击需求的多样化，DDoS 攻击的威胁可能会更加复杂和难以应对。 2.1攻击强度 2.1.1DDoS 攻击高峰与热点事件紧密相连 根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，2024 年 DDoS 攻击的月度分布呈现出明显的阶段性特征。1 月份达到全年攻击峰值，这一现象与同期爆发的巴以冲突以及伊朗 - 巴基斯坦武装冲突存在关联性，相关攻击活动持续蔓延至 2 月。6 月出现增长，或与欧洲议会选举、DDoS 攻击组织针对巴黎奥运会提前“演练”相关。值得注意的是，10 月至12 月期间，DDoS 攻击活动呈现上升趋势，这一变化与全球重大政治事件相关，包括美国大选、巴西 G20 峰会以及德国政府信任投票等关键事件的发生时间相吻合，显示出 DDoS 攻击活动与国际政治局势变化之间的密切关联性。 2023 年攻击趋势也印证了攻击活动与热点事件的关联，3 月出现攻击高峰，且攻击目标多数位于巴西，其攻击频率的增加可能与巴西大选后的国内冲突存在某种程度的关联。 超过 500G 的 DDoS 攻击事件月度分布如下，下半年明显比上半年次数更多，但是，从攻击峰值来看，最大的攻击峰值出现在 2 月，为 1.9Tbps。 另外，与 2023 年相比，2024 年有 9 个月的 DDoS 攻击事件数量超过 2023 年同期水平，凸显出 DDoS 威胁态势的持续加剧。 2.2攻击手段 2.1.2高强度攻击事件较去年增长 37.91%，攻击峰值速率达 1.9Tbps 2.2.1UDP 攻击为主，TCP 攻击显著上升 2024 年 DDoS 攻击峰值速率的时间线分布数据显示，绝大多数攻击事件（超过 99%）的峰值速率低于 500Gbps。然而，值得关注的是，全年共记录了 582 起超 500Gbps 的 DDoS攻击事件，相比 2023 年的 422 起增长了 37.91%，显示出高强度攻击特征。 根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，UDPFragment 攻击以 35.40%的占比位居首位，SYNFlood 则以 30.64% 的占比紧随其后，两者几乎平分秋色。值得注意的是，UDP 协议攻击整体占比超过 50%，这一数据表明以消耗目标带宽为核心目的的传统攻击方式 仍是网络层 / 传输层攻击的主流，但攻击者也越来越倾向于将反射放大攻击与僵尸网络结合攻击以达成效果，此类复合攻击占比达到 11.49%。这说明当前攻击者已经具备了同时控制僵尸网络和反射器的双重能力，这种技术升级使得攻击行为更加隐蔽、精准且难以溯源。 相较于 2023 年，尽管 2024 年网络层 / 传输层攻击仍以 UDP 协议攻击为主流，但针对TCP 协议的攻击呈现显著增长态势，包括 SYNFlood、ACKFlood、FIN/RSTFlood。因此，需要重点关注针对TCP协议的DDoS攻击防御。 2.2.3关键互联网服务是反射放大攻击的主要反射源 根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，在 2024 年的反射放大攻击中，攻击者主要依赖于两类互联网关键基础设施：首先，DNS 反射器的利用率最高，达到了35.93%；其次是 NTP 反射器，其占比为 31.19%，与 DNS 攻击的频繁程度不相上下。这两种服务作为互联网核心基础设施，在全球范围内部署了大量主机资源，其广泛性和易得性恰好满足了攻击者实施大规模反射放大攻击的需求，这也充分解释了为何它们成为最常被滥用的攻击媒介。 2.2.2HTTPS 攻击占据主导，DNS 威胁加剧 2024 年 HTTPS 攻击在应