您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [绿盟科技]:伏影实验室DDOS攻击威胁报告 - 发现报告

伏影实验室DDOS攻击威胁报告

电气设备 2026-04-21 绿盟科技 赵小强
报告封面

专注于安全威胁监测与对抗技术的研究,涵盖APT高级威胁、Botnet、DDoS对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。研究目标是掌握现有网络威胁,识别并追踪新型威胁,精准溯源与反制威胁,降低风险影响,为威胁对抗提供有力决策支持。采用前沿技术探索与实战对抗相结合的研究模式,协助国家单位破获APT攻击案件数起,在全球率先发现9个新型APT攻击组织,处置40多起涉我 01专家观点1.1DDoS范式转移,从“带宽对抗”到“认知与决策速度对抗”1.2DDoS战术策略演进,趋向靶向精准化攻击 02DDoS攻击趋势特征 2.1攻击强度 3.2僵尸网络28 05总结与展望 维度的范式重构。在侦察阶段,AI能够自动开展目标分析,重点包括域名与IP资产梳理、CDN与Anycast节点识 响应特征与流量行为建模,AI能够识别连接建立成本高、资源消耗大的接口(如登录、搜索、动态查询等),并评估其在高并发场景下的承压阈值。在攻击实施环节,AI能够根据弱点实时构造高度定制化、不可预测的攻击载荷。无论是弱鉴权接口上的高频凭证填充,利用协议特性的特殊数据包,还是多向量的L3/L4/L7融合攻击,所有载荷都可按需生成并持续演变。系统甚至能够模拟正常用户的行为模式,如拟态的HTTP请求头、交互轨迹或搜索查询,以躲避以指纹与阈值为核心的传统清洗规则。其突出特征是攻击流量高度多样、难以标准化、几 乎没有可复用的特征留痕。在攻击端的动态规避方面,智能体会持续监测目标的防护策略变化,并在检测到拦截迹象后即时调整攻击参数,如源IP池分布、并发速率、协议组合或攻击焦点位置等,实现了秒级的策略再生与自适应突破。传统清洗系统通常依赖静态规则和人工干预。在策略更新速度上,这与攻击端存在数量级差距,导致防御端极易被迫进入“永远慢一拍”的状态。据绿盟科技伏影实验室监测,目前包括vire.cc在内的多个DDoS攻击平台已经将AI应用在攻击中,A/可以通过对目标进行分析,确定针对自标的最佳设置。 Next-GenAttack Techniques图1.1vire.cc将AI应用到DDoS攻击 2 1.2DDoS战术策略演进,趋向靶向精准化攻击近年来,DDoS攻击的演进路径愈发清晰:从早期单纯的“炫技式骚扰”,全面迈向“靶向精准打击”新阶段,战术策略持续升级迭代,针对性不断强化。在攻击时机选择上,“精准击”特征愈发凸显,攻击者不再盲目发起攻击,而是紧町目标核心业务节点。例如在产品发布、业务高峰等本就承载高流量的时段叠加恶意流量,使系统负载被急剧放大, 重大赛事、大选等热点事件窗口期,攻击者往往聚焦政府、金融、通信等关键行业网站发动定向打击,意图实现最大化破坏效果。 随着企业数字化进程加速,第三方API已成为核心业务逻辑的重要组成部分。尤其在AI技术普及的推动下,各类AI产品的API在行业内高度渗透,其“轻前端、重后端”的特性使其极易被攻击者利用:仅需发起极小流量的恶意请求,即可触发后端服务器复杂计算与资源调度,大量消耗算力、内存及数据库资源,以极低攻击成本达成业务瘫痪的目标,实现“单点突破、全链影响”的攻击效果。 到2024年巴黎奥运会、美国总统大选,再到2025年以伊冲突、印巴冲突,每一次热点事件均伴随DDoS攻击,且攻击目标集中于政府、金融、军事等关键领域;2024年《黑神话:悟空》发布期、DeepSeek-R1使用高峰期的攻击事件更直观体现了策略调整一一攻击者专门锁定10:00-22:00的使用高峰,定向攻击api.deepseek.com接口及chat.deepseek.com对话系统,与正常流量叠加实现攻击效果放大,呈现出极强的靶向性特征。 1.3DDoS攻击组织演进,“老牌”主导,“新兴”高速崛起从当前DDoS攻击组织发展的态势来看,攻击生态正呈现出传统“老牌”家族主导与“新兴”力量两者合计占比超过80%。这些老牌家族经过长期演化,在传播机制、漏洞利用、控制架构及持续运营能力等方面高度成熟,具备稳定的感染能力和大规模调度能力,能够持续支撑高强度、高频次的DDoS攻 另一方面,受地缘政治、网络新型漏洞发现以及AI技术快速发展的推动,新型DDoS攻击组织正加速崛起,逐步改变既有生态格局。例如,自俄乌冲突以来,黑客行动主义组织活跃度持续增长;在僵 攻击中活跃度显著提升,表明攻击目标已从传统网站与基础设施扩展至AI等高价值新兴场景。同时,绿盟科技伏影实验室2025年新发现的httpbot、NutsBot及chachatea等僵户网络迅速进入活跃度前十,其在攻击手段隐蔽性和快速部署能力方面均有显著提升。尤其是NutsBot,仅用两天便将React2Shell漏洞(CVE-2025-55182)武器化,快速控制大量目标,彰显新兴家族的高效成军能力。此外,2025年新出现的僵户网络大多集成了针对HTTP及HTTPS的攻击能力,表明DDoS攻击正由以流量消耗为主逐步向会话与应用层资源消耗转型。总体而言,当前DDoS攻击组织生态正处于“存量稳固、增量活跃”的阶段:“老牌”家族凭借成熟能力维持基本盘,“新兴”家族通过技术创新和目标拓展不断提升影响力。未来,两者并存乃至融合发展的趋势将更加明显,攻击手段与目标范围也将进一步多样化,对网络安全防护提出了更高要求。 上升趋势,尤其是年末的几个月,攻击事件数量大幅增长。相较2024年,2025年有8个月的攻击事件数量超过了去年水平,全年整体攻击事件数量增长了22.36%。 络世界,导致DDoS攻击事件增长。另一方面,AI的快速崛起也导致针对AI接口厂商的DDoS激增。+2023年←2024年2025年 ·2024年2025年平均峰值带宽2024年平均峰值带宽2025年平均峰值包速率2024年平均峰值包速率 25.00%20.00%15.00% 0.00%2024年■2025年图2.5反射放大攻击手段分布 10 随着攻击工具与攻击服务的门槛持续降低,多向量攻击已被集成进自动化攻击平台,攻击者可在短时间内灵活切换或叠加多种攻击方式,以绕过基于单一特征的防护策略。其中,2种攻击向量组合的增 大于5vector4vector3vector 2vecto0.00%2.00%4.00%6.00%8.00%10.00%12.00%14.00%16.00%18.00%2023年■2024年■2025年图2.62023~2025年攻击向量分布 0.00%10.00%20.00%30.00%40.00%50.00%60.00%2023年■2024年■2025年 图2.82023~2025受攻击端口趋势12 其中,5分钟以下的短时攻击多用于探测防护能力或配合其他攻击行动,攻击发起迅速、结束快, 源消耗和业务中断,通过长时间施压迫使防御系统处于高负载状态,从而放大攻击影响。大于1天 1小时到24小时5分钟以下32.98%32.63% 10分钟到5分钟到10分钟30分钟14.52%30分钟到60分钟12.51%6.07% 件主要源自 NoName057(16)、Keymous+、Dark Storm Team、HEZI RASH、Mr Hamza、RipperSec、 SERVER KILLERS Electronic ArmyRed wolf cyberMr Hamza2.22%-Special Forces1.61%RipperSec1.69%3.50%-Arabian Ghosts 其他36.59%其他leymous41.26%NoName057(16)Hider_ Nex.25.75%1.05%AnonSec_TEAM FEARLESS1.10%DieNet1.34% 1.92% 丹麦以色列1.97%摩洛哥2.12%L波兰2.52% 图3.3有组织DDoS攻击国家/地区 5.37%运输与物流一3.35%网络与电信其他行业29.17%其他35.15%政府与公共部门 一种名为DDOSIA的DDoS攻击工具,并创建专门的Telegram频道用于DDOSIA攻击工具的宣传与该组织在2025年主要针对乌克兰、法国、德国、意大利等国进行DDoS攻击,其中对乌克兰、法国和德国的攻击强度尤为显著,攻击行业主要分布于政府管理、交通运输、网络电信等行业。 乌克兰政府管理法国 运输与物流网络与电信意大利政府与公共部门NoName057(16)能源与公用事业西班牙 此外,Keymous+可能与名为EliteStress的商业DDoS攻击服务公司关系密切,该平台提供DDoS攻击服务,价格从每天5欧元到每月600欧元不等。EliteStress提供多种攻击向量,用户可通过选择目标IP地址、攻击向量并设置攻击持续时间来发起攻击。该组织在2025年主要针对摩洛哥、法国、印度、埃及、以色列等国进行DDoS攻击,其中对摩洛哥的攻击强度尤为显著,攻击行业主要分布于政府管理、金融服务、网络电信等行业。 20 攻击声明,强调政治和意识形态动机,声称支持摩洛哥和伊斯兰国家并反对特定国家的政策,常常使用英语和阿拉伯语发声。其行动涉及破坏政府网站、银行系统和新闻平台,并通过不断招募新成员扩展影响力。Mr Hamza 组织自称合作的 Botnet组织有 Rebirth Botnet、Cypherr Botnet、Crtz Botnet、 该组织在2025年主要针对以色列、美国、西班牙、德国、印度、英国、法国、意大利、比利时等国家进行DDoS攻击,攻击行业主要分布于国防与航天、政府管理、军事工业、航空与航天、石油与天国防与航天以色列政府管理美国政府与公共部门 不工事支西班牙航空与航天Mr Hamza德国石油与天然气印度信息技术服务英国■能源与公用事业法国 包括"深入侦察”(deepreconnaissance)与"全方位网络行动”(full-spectrumcyberoperations)。Nullsec Philippines声称其行动目标包括突破腐败体系、揭露政府基础设施中的安全漏洞,并实施精准定向的网络攻击。 育、军事等。中国大陆 政府管理中国台湾 NullsecPhilippines政府与公共部门新加坡摩洛哥教育美国 ForwardedfromCASHNETWORKPrivateNetwork|METRICZcopy NormalNetworkMETRICZcopy$7e MonthlyAttack time | 12e Seconds I2 MinutesCooldownI3e SecondsConcurrent/s |1 ResourceExhaustionTechniques图3.16下一代攻击技术 Mirai稳居前两位,占比分别达到48.99%和31.52%。与2024年相比,XorDDoS活跃度有所上升,而Mirai则呈现一定回落,但两者在规模、传播能力及持续运营方面仍具备显著优势,持续占据主导地位。 度明显提升,分别位列第三和第四,反映出僵尸网络在目标选择上的新变化趋势。 络,其活跃度已进入前十,凸显出新兴家族扩张速度之快,表明攻击生态正在不断演化,新旧家族并存的格局愈发明显。 图3.18僵尸网络活跃度分布 击者倾向于利用传输层及隧道协议放大流量,对目标网络带宽与设备处理能力进行持续压制。UDPFlood(7.89%)、ProxyFlood(6.12%)和VSEFlood(3.25%)构成第二梯队。其中, 针对性与破坏能力。DNS FloodHTTP Flood其他2.19%1.98%2.93%ACK Flood2.97%VSE FloodProxy Flood-3.25%6.12%UDP Flood 47.81%GREFlood11.84%TCPFlood13.03% 部事件或区域性因素影响,个别国家的攻击占比也可能出现阶段性上升。其他15.94%新加1.54%英国3.54%中国 荷兰40.23%3.58%巴林16.36% 的关联愈发明显。2