2025年全球DDoS攻击态势分析

天翼安全科技有限公司、联通数科安全、中国移动卓望公司、百度安全、Nexusguard、清华大学、电子科技大学、华为联合发布 目录 关键信息摘要02 1.1专家观点021.2 DDoS攻击态势021.3 DDoS僵尸网络态势031.4典型攻击案例04 攻击态势05 2.1 DDoS攻击态势05 2.1.1攻击频次052.1.2攻击强度062.1.3攻击爬坡速率112.1.4攻击复杂度122.1.5攻击发生时段182.1.6攻击持续时间192.1.7攻击持久性202.1.8攻击目标行业分布212.1.9攻击目标地域分布22 2.2 DDoS僵尸网络态势23 2.2.1僵尸家族分布232.2.2 C2地域分布242.2.3 DDoS肉鸡地域分布25 典型攻击案例26 3.1 AI大模型成为攻击目标263.2首次监测到真实源扫段攻击27 专家观点28 数据来源30 关键信息摘要 01关键信息摘要 1.1专家观点 观点1：Outbound Indiscriminate Bombing正挑战AS（自治系统）级出口带宽冗余，反推防护体系向“近源清洗”演进。 观点2：网络攻击呈现高度的战略靶向性，新兴科技产业已成为地缘博弈下的“安全重灾区”。观点3：“真实源扫段”打破了传统防御的特征识别边界，驱动防护范式向“智能行为检测”转型。 1.2 DDoS攻击态势 攻击的直接目标分布模式经历了显著演变。 从早期针对单一IP的精准打击（狙击枪模式），发展为覆盖整个网段的饱和攻击（地毯式轰炸），再到如今完全离散化的IP攻击（霰弹枪模式）。这种新型攻击方式在单个IP甚至整个IP段都无法观测到明显的流量波动，极大增加了检测难度，对网络安全体系提出了前所未有的挑战。 攻击频次继续呈增长态势。 2025年攻击频次是2024年的1.5倍，是2023年的1.9倍。攻击频次地域分布看，APAC攻击最活跃，全年占比83.34%。LATAM攻击增长幅度最大，从占比7.1%提升到占比11.74%。 超大规模攻击激增。 互联网史上最大带宽和最大包速率攻击均被大幅刷新，攻击峰值带宽高达31.4Tbps1，攻击峰值包速率高达14,100Mpps2。中国境内，年度最大攻击峰值带宽为2.78Tbps；最大攻击包速率为1,121Mpps。2025年，T级攻击维持高位。超800Gbps攻击共计644次，略低于2024年的771次，是2023年的2.6倍，挑战防御成本。 关键信息摘要 瞬时泛洪攻击持续呈秒级加速态势，挑战防御系统响应速度。 瞬时泛洪攻击爬升至300Gbps-400Gbps区间只需2秒 ；爬升至800Gbps-1Tbps区间，仅需10秒。 攻击复杂度持续提升，威胁加剧。 2025年，UDP Flood、ACK Flood（包括网络层CC）、UDP分片、SYN Flood、ICMP Flood是TOP5网络层攻击类型，依次占比35.24%、15.00%、14.68%、11.56%、8.37%。 2025年，CLDAP反射异常活跃，占比从0.45%跃升至36.35%。 随着应用加密常态化，针对TLS服务的攻击持续处于高位，2025年针对TLS服务的攻击中，HTTPS Flood占比57.98%，TLS异常会话占比18.41%。 2025年，扫段攻击持续呈现多样化态势。62.89%的扫段攻击呈现低速态势，挑战传统检测算法有效性 ；45.51%的单个C段攻击持续时间小于30分钟，挑战防御系统自动化处置能力 ；89.17%的扫段攻击采用混合攻击手法，挑战防御成功率。 2025年，扫段攻击手法持续演进，华为首次监测到两起使用真实源的网络层CC扫段攻击。 传媒和互联网、金融、政府和公共事业、教育依然是TOP4攻击目标行业。 2025年，传媒和互联网、金融、政府和公共事业、教育依然是TOP4攻击目标行业，攻击频次占比依次为55.92%、12.58%、12.22%、7.92%；金融、教育、工业互联网、交通行业受攻击频次占比连续三年增长 ；金融行业攻击频次占比相比于2023年提高了3.4倍。 全球攻击目标地域分布依次为APAC、NA、EMEA、LATAM，中国TOP3攻击目标地域分布依次为广东、江苏和山东。 全 球 攻 击 目 标 地 域 分 布 依 次 为APAC、NA、EMEA、LATAM， 占 比 分 别 为49.02%、21.48%、19.93%、9.57%。EMEA攻击目标占比提升非常明显，相比于2024年提升了一倍 ；中国TOP3攻击目标地域分布为广东、江苏和山东，占比依次为25.82%、13.37%、10.19%。 1.3 DDoS僵尸网络态势 僵尸家族分布 ：DDoS僵尸家族以IoT和Linux平台为主，按C2数量排名的TOP5僵尸家族分别是Mirai、Mozi、Gafgyt、Kinsing和Kaiji，占比依次为71.61%、16.19%、7.74%、3.03%、1.42%；按DDoS攻击次数排名的TOP5僵尸网络家族依次为RapperBot、Xorddos、Mirai.a1、Mirai.kingston和Mirai.bees，占比依次为43.73%、15.61%、13.11%、10.95%、6.39%。 僵尸网络C2地域分布 ：C2全球地域分布依次为EMEA、APAC、NA、LATAM，占比依次为39.79%、39.15%、19.42%、1.64%；C2中国TOP3地域分布为河南、香港、山东，占比依次为34.15%、10.69%、8.44%。 肉 鸡 地 域 分 布 ：肉 鸡 全 球 地 域 分 布 依 次 为APAC、EMEA、NA、LATAM， 占 比 依 次 为79.01%、8.36%、8.17%、4.45%；肉鸡中国TOP3地域分布为广东、江苏、福建，占比依次为13.13%、8.92%、7.67%。 1.4典型攻击案例 案例1：AI大模型成为攻击目标 2025年初，华为监测到针对AI大模型的DDoS攻击，攻击流量峰值达到T级。攻击者使用了QUIC Flood、NTP/DNS反射放大、UDP分片、ICMP Flood、应用层CC等多种手段，显著提升防御难度。 其中，应用层DDoS攻击主要为非法URI的GET请求和LLM算力消耗型攻击，海外流量限速后，仍然近半数攻击源来自海外。 案例2：首次监测到真实源扫段攻击 2025年5月，华为监测到两起使用真实源的网络层CC扫段攻击，峰值33Gbps，持续5分钟。 02攻击态势 2.1 DDoS攻击态势 2.1.1攻击频次 DDoS攻击频次呈持续增长态势。2025年攻击频次是2024年的1.5倍，2023年的1.9倍。攻击频次的全面飙升，根源于攻击成本降低、僵尸网络壮大、勒索与地缘冲突共振。 从攻击频次地域分布来看，APAC区域的攻击仍然最活跃且提升明显，占比从2024年的67.12%提升到2025年的83.34%。LATAM攻击频次占比从2024年的7.1%提升到11.74%。亚太因其新兴市场网络安全短板、物联网生态风险以及全球黑产利益驱动等多重因素而维持超高占比，拉美则因数字化加速与安全失衡，成为攻击版图中增长最快的一块。 2.1.2攻击强度 2025年全球范围来看超大规模攻击激增。2025年，互联网史上最大带宽和最大包速率攻击记录均被刷新，攻击峰值带宽高达31.4Tbps1，是2024年创记录的5.6Tbps1的5.6倍 ；攻击峰值包速率高达14,100Mpps2，是2024年创纪录的2,100Mpps的6.71倍。最大带宽和最大包速率攻击记录均由Aisuru僵尸网络发起的DDoS攻击刷新，该僵尸网络控制着100万至400万台遍布全球的受感染设备（主要由路由器、摄像头等物联网设备组成），采用僵尸网络即服务（Botnet-as-a-Service）的商业模式，将攻击能力作为商品出租，在2025年发起了多次超10Tbps的DDoS攻击。 攻击态势 从攻击强度地域分布看，针对APAC和NA的攻击强度达到T级，远高于EMEA和LATAM地域。此外，下半年的峰值带宽和峰值包速率对比上半年呈现上升趋势。 中国境内每个月均有T级攻击发生，全年最大攻击峰值带宽为2.78Tbps，有3个月出现了峰值带宽超2Tbps的攻击。 2025年，超500Gbps攻击总量达3,096次。月度分布趋势平稳，未出现集中爆发态势。 攻击态势 2025年，超800Gbps攻击共发生644次，相比2024年下降16.4%；但仍是2023年的2.6倍。从月度分布看，2月和12月为攻击高发期，分别发生152次和102次。 2025年12月，电信监测到中国境内年度最大包速率攻击，攻击流量峰值包速率为1,121Mpps。 2025年，月度平均峰值带宽最大值为33Gbps，出现在10月份，说明10月份大流量攻击较集中。年度攻击平均峰值带宽为23Gbps。 2025年，月度平均攻击包速率最大值为8Mpps，出现在6月份。年度攻击平均峰值包速率为5Mpps。 攻击态势 2025年，低强度攻击显著提升，T级攻击频次略降，但仍维持高位。小于5Gbps的攻击占比从2024年的58.9%进一步提升到2025年的86.04%。小于5Gbps的攻击主要由会话层、应用层及低速扫段攻击组成，攻击强度降低，但攻击复杂度提升，对防御能力构成严峻挑战。 2.1.3攻击爬坡速率 瞬时泛洪攻击继续呈秒级加速态势，爬升至300Gbps-400Gbps区间只需2秒，爬升至800Gbps-1Tbps区间，仅需10秒，极大挑战检测防御系统攻击感知与响应速度。传统基于Netflow检测的动态引流清洗模式受到极大挑战。秒级甚至毫秒级响应，将攻击压制在源头，利用AI模型对流量模式进行持续预测，识别攻击前兆特征，将攻击扼杀在萌芽，成为对抗秒级攻击的重要防御手段。 2.1.4攻击复杂度 1.网络攻击类型分布 2025年，UDP Flood、ACK Flood（ 包 括 网 络 层CC）、UDP分 片、SYN Flood、ICMP Flood是TOP5网 络层 攻 击 类 型， 依 次 占 比35.24%、15.00%、14.68%、11.56%、8.37%。UDP反 射 攻 击 频 次 从2024年 的24.77%骤降到2025年的4.21%，被排除出Top5网络层攻击类型。为应对常见的UDP反射攻击，主流云服务商已全面部署限速策略并形成常态化防护机制。这一措施显著削弱了此类攻击的实际效果，进而导致其攻击频次持续下降。 攻击态势 2025年UDP反射攻击格局发生剧烈变化。CLDAP反射异常活跃，占比从2024年的0.45%猛增至36.35%，几乎与DNS反射（34.86%）持平。同时，NTP反射占比由13.32%上升至21.40%。相比之下，SSDP反射攻击和Memcached反射攻击呈现下降态势。 2025年，TOP10 TCP反射源端口依次为 ：80/443、7547、8080、3389、1723、81、58000、5060、30010、1433。 2.应用层攻击类型分布 随着应用加密常态化，近三年，HTTPS Flood攻击占比持续处于高位，2025年占比57.98%。 近三年数据显示，HTTP和TLS异常会话的占比居高不下。这一现象主要归因于华为DDoS防御系统的识别机制 ：该系统基于应用层特征来识别网络层CC攻击，将针对80端口的攻击流量归类为HTTP异常会话，将针对443端口的攻击流量归类为HTTPS（TLS）异常会话。 3.攻击矢量分布 2025年，攻击仍然以混合攻击为主，混合攻击占比从2024年的58.92%提升至2025年的70.97%。 攻击态势 4.扫段攻击多样化 华为统一将单IP峰值攻击流量小于500Mbps的扫段攻击归类为低速扫段。低速扫段发生时，到单个攻击目标IP的攻击流量小，难以触发检测阈值。 2025年，从全球范围