DDoS攻击威胁报告

01专家观点1.1DDoS范式转移，从“带宽对抗”到“认知与决策速度对抗”1.2DDoS战术策略演进，趋向靶向精准化攻击 02DDoS攻击趋势特征 2.1攻击强度 3.2僵尸网络28 05总结与展望 维度的范式重构。在侦察阶段，AI能够自动开展目标分析，重点包括域名与IP资产梳理、CDN与Anycast节点识 响应特征与流量行为建模，AI能够识别连接建立成本高、资源消耗大的接口（如登录、搜索、动态查询等），并评估其在高并发场景下的承压阈值。在攻击实施环节，AI能够根据弱点实时构造高度定制化、不可预测的攻击载荷。无论是弱鉴权接口上的高频凭证填充，利用协议特性的特殊数据包，还是多向量的L3/L4/L7融合攻击，所有载荷都可按需生成并持续演变。系统甚至能够模拟正常用户的行为模式，如拟态的HTTP请求头、交互轨迹或搜索查询，以躲避以指纹与阈值为核心的传统清洗规则。其突出特征是攻击流量高度多样、难以标准化、几 乎没有可复用的特征留痕。在攻击端的动态规避方面，智能体会持续监测目标的防护策略变化，并在检测到拦截迹象后即时调整攻击参数，如源IP池分布、并发速率、协议组合或攻击焦点位置等，实现了秒级的策略再生与自适应突破。传统清洗系统通常依赖静态规则和人工干预。在策略更新速度上，这与攻击端存在数量级差距，导致防御端极易被迫进入“永远慢一拍”的状态。据绿盟科技伏影实验室监测，目前包括vire.cc在内的多个DDoS攻击平台已经将AI应用在攻击中，A/可以通过对目标进行分析，确定针对自标的最佳设置。 Next-GenAttack Techniques图1.1vire.cc将AI应用到DDoS攻击 2 1.2DDoS战术策略演进，趋向靶向精准化攻击近年来，DDoS攻击的演进路径愈发清晰：从早期单纯的“炫技式骚扰”，全面迈向“靶向精准打击”新阶段，战术策略持续升级迭代，针对性不断强化。在攻击时机选择上，“精准击”特征愈发凸显，攻击者不再盲目发起攻击，而是紧町目标核心业务节点。例如在产品发布、业务高峰等本就承载高流量的时段叠加恶意流量，使系统负载被急剧放大， 重大赛事、大选等热点事件窗口期，攻击者往往聚焦政府、金融、通信等关键行业网站发动定向打击，意图实现最大化破坏效果。 随着企业数字化进程加速，第三方API已成为核心业务逻辑的重要组成部分。尤其在AI技术普及的推动下，各类AI产品的API在行业内高度渗透，其“轻前端、重后端”的特性使其极易被攻击者利用：仅需发起极小流量的恶意请求，即可触发后端服务器复杂计算与资源调度，大量消耗算力、内存及数据库资源，以极低攻击成本达成业务瘫痪的目标，实现“单点突破、全链影响”的攻击效果。 到2024年巴黎奥运会、美国总统大选，再到2025年以伊冲突、印巴冲突，每一次热点事件均伴随DDoS攻击，且攻击目标集中于政府、金融、军事等关键领域；2024年《黑神话：悟空》发布期、DeepSeek-R1使用高峰期的攻击事件更直观体现了策略调整一一攻击者专门锁定10:00-22:00的使用高峰，定向攻击api.deepseek.com接口及chat.deepseek.com对话系统，与正常流量叠加实现攻击效果放大，呈现出极强的靶向性特征。 1.3DDoS攻击组织演进，“老牌”主导，“新兴”高速崛起从当前DDoS攻击组织发展的态势来看，攻击生态正呈现出传统“老牌”家族主导与“新兴”力量两者合计占比超过80%。这些老牌家族经过长期演化，在传播机制、漏洞利用、控制架构及持续运营能力等方面高度成熟，具备稳定的感染能力和大规模调度能力，能够持续支撑高强度、高频次的DDoS攻 另一方面，受地缘政治、网络新型漏洞发现以及AI技术快速发展的推动，新型DDoS攻击组织正加速崛起，逐步改变既有生态格局。例如，自俄乌冲突以来，黑客行动主义组织活跃度持续增长；在僵 攻击中活跃度显著提升，表明攻击目标已从传统网站与基础设施扩展至AI等高价值新兴场景。同时，绿盟科技伏影实验室2025年新发现的httpbot、NutsBot及chachatea等僵户网络迅速进入活跃度前十，其在攻击手段隐蔽性和快速部署能力方面均有显著提升。尤其是NutsBot，仅用两天便将React2Shell漏洞（CVE-2025-55182）武器化，快速控制大量目标，彰显新兴家族的高效成军能力。此外，2025年新出现的僵户网络大多集成了针对HTTP及HTTPS的攻击能力，表明DDoS攻击正由以流量消耗为主逐步向会话与应用层资源消耗转型。总体而言，当前DDoS攻击组织生态正处于“存量稳固、增量活跃”的阶段：“老牌”家族凭借成熟能力维持基本盘，“新兴”家族通过技术创新和目标拓展不断提升影响力。未来，两者并存乃至融合发展的趋势将更加明显，攻击手段与目标范围也将进一步多样化，对网络安全防护提出了更高要求。 1.92% 丹麦以色列1.97%摩洛哥2.12%L波兰2.52% 图3.3有组织DDoS攻击国家/地区 5.37%运输与物流一3.35%网络与电信其他行业29.17%其他35.15%政府与公共部门 一种名为DDOSIA的DDoS攻击工具，并创建专门的Telegram频道用于DDOSIA攻击工具的宣传与该组织在2025年主要针对乌克兰、法国、德国、意大利等国进行DDoS攻击，其中对乌克兰、法国和德国的攻击强度尤为显著，攻击行业主要分布于政府管理、交通运输、网络电信等行业。 乌克兰政府管理法国 运输与物流网络与电信意大利政府与公共部门NoName057(16)能源与公用事业西班牙 此外，Keymous+可能与名为EliteStress的商业DDoS攻击服务公司关系密切，该平台提供DDoS攻击服务，价格从每天5欧元到每月600欧元不等。EliteStress提供多种攻击向量，用户可通过选择目标IP地址、攻击向量并设置攻击持续时间来发起攻击。该组织在2025年主要针对摩洛哥、法国、印度、埃及、以色列等国进行DDoS攻击，其中对摩洛哥的攻击强度尤为显著，攻击行业主要分布于政府管理、金融服务、网络电信等行业。 20 攻击声明，强调政治和意识形态动机，声称支持摩洛哥和伊斯兰国家并反对特定国家的政策，常常使用英语和阿拉伯语发声。其行动涉及破坏政府网站、银行系统和新闻平台，并通过不断招募新成员扩展影响力。Mr Hamza 组织自称合作的 Botnet组织有 Rebirth Botnet、Cypherr Botnet、Crtz Botnet、 该组织在2025年主要针对以色列、美国、西班牙、德国、印度、英国、法国、意大利、比利时等国家进行DDoS攻击，攻击行业主要分布于国防与航天、政府管理、军事工业、航空与航天、石油与天国防与航天以色列政府管理美国政府与公共部门 不工事支西班牙航空与航天Mr Hamza德国石油与天然气印度信息技术服务英国■能源与公用事业法国 包括"深入侦察”（deepreconnaissance）与"全方位网络行动”（full-spectrumcyberoperations）。Nullsec Philippines声称其行动目标包括突破腐败体系、揭露政府基础设施中的安全漏洞，并实施精准定向的网络攻击。 育、军事等。中国大陆 政府管理中国台湾 NullsecPhilippines政府与公共部门新加坡摩洛哥教育美国 ForwardedfromCASHNETWORKPrivateNetwork|METRICZcopy NormalNetworkMETRICZcopy$7e MonthlyAttack time | 12e Seconds I2 MinutesCooldownI3e SecondsConcurrent/s |1 ResourceExhaustionTechniques图3.16下一代攻击技术 Mirai稳居前两位，占比分别达到48.99%和31.52%。与2024年相比，XorDDoS活跃度有所上升，而Mirai则呈现一定回落，但两者在规模、传播能力及持续运营方面仍具备显著优势，持续占据主导地位。 度明显提升，分别位列第三和第四，反映出僵尸网络在目标选择上的新变化趋势。 络，其活跃度已进入前十，凸显出新兴家族扩张速度之快，表明攻击生态正在不断演化，新旧家族并存的格局愈发明显。 图3.18僵尸网络活跃度分布 击者倾向于利用传输层及隧道协议放大流量，对目标网络带宽与设备处理能力进行持续压制。UDPFlood（7.89%）、ProxyFlood（6.12%）和VSEFlood（3.25%）构成第二梯队。其中， 针对性与破坏能力。DNS FloodHTTP Flood其他2.19%1.98%2.93%ACK Flood2.97%VSE FloodProxy Flood-3.25%6.12%UDP Flood 47.81%GREFlood11.84%TCPFlood13.03% 部事件或区域性因素影响，个别国家的攻击占比也可能出现阶段性上升。其他15.94%新加1.54%英国3.54%中国 荷兰40.23%3.58%巴林16.36% 的关联愈发明显。2025年，绿盟科技伏影实验室全球威胁狩猎系统监测到多起具有代表性的重大DDoS攻击事件，相关攻击均与现实世界的政治或军事冲突高度相关。例如，在印巴冲突期间，军事对抗与网络空间攻击并行推进，DDoS攻击被用于配合现实军事行动形成“现实冲突+网络打击”的双重施压态势；在伊朗核问题谈判阶段，以伊双方相关网络空间亦频繁遭受DDoS攻击，DDoS攻击成为博奔与对抗的重要延伸手段。 4.1DeepSeek崛起背后的暗流：全球Al技术博奔下的DDoS系统监测数据显示，2025年1月25日15:33:31、2025年1月26日13:12:44、2025年1月27 日18:09:45，IP地址1.94.179.165遭受3波DDoS攻击，该IP地址为deepseekAPI接口(api.deepseek.com）当时的解析地址。攻击持续时长平均为35分钟。攻击手段以NTP反射攻击、Memcached反射攻击为主。通过进一步溯源分析，目前已监测到被利用的攻击基础设施来源前三为美国（20%）、英国（17%）、澳大利亚(9%）。 攻击者利用全球分布的服务器资源，试图掩盖其真实身份和地理位置，这种行为不仅严重破坏了网络空间的秩序，还对全球互联网安全构成了重大威胁。印巴局势升级：军事行动与DDoS攻击双重“定点打击 成26人死亡）以来，印度与巴基斯坦之间的DDoS攻击活动呈现显著激增态势。32 NcccNews新闻平台国防部TV9 Hindi新闻平台国家信息学中心电信有限公司新闻信息局铁路电信有限公司总理办公室统一身份识别机构总统办公室克什米尔邦政府图4.25月7日前后重点攻击目标对比 系统监测数据显示，自2025年4月12日美伊在阿曼开启首轮围绕核问题的间接谈判以来，针对伊朗的DDoS攻击活动持续不断，形成明显的网络层对抗趋势。从下图所示数据可以看出，现实事件与DDoS攻击之间存在高度关联性。每轮美伊谈判结束后，针 基础设施。其中，5月14日出现攻击峰值，目标数量超过2000个，与5月11日进行的第四轮谈判时间点高度重合，表明谈判进展可能引发网络层面更强烈的对抗行为。 随着物理军事打击的展开，以及伊朗对国内网络的进一步限制，DDoS攻击活动随后逐步回落。这一趋势表明，网络攻击在谈判与冲突升级阶段常作为前置干扰或施压工具，而当冲突演变为现实军事行动后，其作用逐渐退居次要位置。 美伊第四轮谈判IAEA报告伊朗和进展美伊第三轮谈判伊第五轮谈判美伊第二轮谈判以色列发动“狮崛行动美伊第一轮谈判 图4.3针对伊朗DDoS攻击趋势 另外，网络攻击与现实世界的深度绑定已成趋势，网络空间不再是单纯的虚拟战场，已逐渐成为现实冲突的前线和配合作战的重要组成部分。网络攻击已经成为现实世界打击行动的前站，甚至成为配合行动的标准工具之一。展望2026年，DDoS攻击形势仍将面临复杂的挑