DDoS攻击威胁报告2026

攻击威胁报告绿盟科技安全研究年报目录01专家观点23562.1攻击强度2.2攻击手段82.3攻击目标2.4攻击时长2.5攻击资源03攻击组织3.2僵尸网络04全年攻击大事件3232从谈判破裂到军事打击：以伊网络空间DDoS攻击态势解析3405总结与展望352随着智能体与大模型技术的普及，DDoS攻击正经历一次根本性的范式跃迁。其核心竞争力已从传统的带宽规模和资源堆积，转向以认知速度、策略精度和决策链路效率为中心的智能化对抗。AI驱动DDoS攻击实现侦察、攻击、规避全流程自动化，显著压缩了攻击生命周期，倒逼防御端必须完成同等维度的范式重构。在侦察阶段，AI能够自动开展目标分析，重点包括域名与IP资产梳理、CDN与Anycast节点识响应特征与流量行为建模，AI能够识别连接建立成本高、资源消耗大的接口(如登录、搜索、动态查询等),并评估其在高并发场景下的承压阈值。在攻击实施环节，AI能够根据弱点实时构造高度定制化、不可预测的攻击载荷。无论是弱鉴权接口上的高频凭证填充，利用协议特性的特殊数据包，还是多向量的L3/L4/L7融合攻击，所有载荷都可按需生成并持续演变。系统甚至能够模拟正常用户的行为模式，如拟态的HTTP请求头、交互轨迹或搜索查询，以躲避以指纹与阈值为核心的传统清洗规则。其突出特征是攻击流量高度多样、难以标准化、几乎没有可复用的特征留痕。在攻击端的动态规避方面，智能体会持续监测目标的防护策略变化，并在检测到拦截迹象后即时调整攻击参数，如源IP池分布、并发速率、协议组合或攻击焦点位置等，实现了秒级的策略再生与自适应突破。传统清洗系统通常依赖静态规则和人工干预。在策略更新速度上，这与攻击端存在数量级差距，导致防御端极易被迫进入“永远慢一拍”的状态。据绿盟科技伏影实验室监测，目前包括vire.cc在内的多个DDoS攻击平台已经将AI应用在攻击中，Al可以通过对目标进行分析，确定针对目标的最佳设置。Ourservicemethodsaredesignedtouseadvancedtechniquesandlatestvolumetricexploits.AllowAIImplementationUsingAltodeterminethemosteffectivesettingsforyourtarget.Head-FullRequestsCache-BreakingHeadersXML-basedexploits老NSFOCUSDDoS攻击威胁报告3因此，未来的DDoS防护能力必须实现系统性的演进。防御中心从流量特征识别转向全网实时感知，从经验式分析转向自动化威胁推理，从静态规则管理转向动态策略生成。具备自学习、自推理、自适应能力的“自主网络免疫系统”将逐渐取代传统清洗模式，成为应对智能化攻击的唯一可持续路径。防护核心竞争力不再是带宽资源，而是模型智能、策略生成速度以及响应链路的自动化程度。1.2DDoS战术策略演进，趋向靶向精准化攻击近年来，DDoS攻击的演进路径愈发清晰：从早期单纯的“炫技式骚扰”,全面迈向“靶向精准打击”新阶段，战术策略持续升级迭代，针对性不断强化。在攻击时机选择上，“精准狙击”特征愈发凸显，攻击者不再盲目发起攻击，而是紧盯目标核心业务节点。例如在产品发布、业务高峰等本就承载高流量的时段叠加恶意流量，使系统负载被急剧放大，显著增加防护难度，并使业务中断影响呈指数级放大，同时会造成更大的负面影响。另外，国际冲突、重大赛事、大选等热点事件窗口期，攻击者往往聚焦政府、金融、通信等关键行业网站发动定向打击，意图实现最大化破坏效果。与此同时，攻击目标也呈现新的演化趋势，API接口正成为攻击者重点瞄准的“新靶点”。目前，随着企业数字化进程加速，第三方API已成为核心业务逻辑的重要组成部分。尤其在AI技术普及的推动下，各类AI产品的API在行业内高度渗透，其“轻前端、重后端”的特性使其极易被攻击者利用：仅需发起极小流量的恶意请求，即可触发后端服务器复杂计算与资源调度，大量消耗算力、内存及数据库资源，以极低攻击成本达成业务瘫痪的目标，实现“单点突破、全链影响”的攻击效果。绿盟科技伏影实验室的监测数据充分印证了这一演进趋势：从2022年俄乌冲突、2023年巴以冲突，到2024年巴黎奥运会、美国总统大选，再到2025年以伊冲突、印巴冲突，每一次热点事件均伴随DDoS攻击，且攻击目标集中于政府、金融、军事等关键领域；2024年《黑神话：悟空》发布期、DeepSeek-R1使用高峰期的攻击事件更直观体现了策略调整——攻击者专门锁定10:00-22:00的使用高峰，定向攻击接口及对话系统，与正常流量叠加实现攻击效果放大，呈现出极强的靶向性特征。4老老NSFOCUSDDoS攻击威胁报告DeepSeek被攻击时间线2025年1月20日1月25日攻击目标：攻击手段：NTP、SSDP反射攻击攻击时长：55分钟攻击目标：攻击时长：32分钟1月27日攻击目标：攻击手段：NTP、SSDP反射攻击攻击时长：55分钟攻击目标：.攻击手段：NTP、CLDAP反射攻击攻击时长：26分钟攻击时长：35分钟攻击目标：攻击时长：1小时10分钟1月26日攻击目标：攻击时长：41分钟1月28日1月29日攻击时长：16分钟1月30日1月30日攻击目标：攻击目标：攻击时长：1小时30分钟:9000:90002月1日攻击时长：12分钟攻击时长：10分钟5总体来看，DDoS攻击的演化本质在于“精准化”与“高针对性”。无论是在攻击时机的选择，还是目标定位的策略上，攻击者均以“最大化破坏效应、最小化攻击成本”为核心原则，形成更具靶向性的攻击模式。这一趋势显著提升了关键行业与核心业务场景下的防护难度，也为传统DDoS防御体系带来了全新的挑战。从当前DDoS攻击组织发展的态势来看，攻击生态正呈现出传统“老牌”家族主导与“新兴”力量快速崛起并存的双重特征。一方面，以XorDDoS、Mirai为代表的经典僵尸网络仍占据绝对主导地位，两者合计占比超过80%。这些老牌家族经过长期演化，在传播机制、漏洞利用、控制架构及持续运营能力等方面高度成熟，具备稳定的感染能力和大规模调度能力，能够持续支撑高强度、高频次的DDoS攻击活动。另一方面，受地缘政治、网络新型漏洞发现以及AI技术快速发展的推动，新型DDoS攻击组织正加速崛起，逐步改变既有生态格局。例如，自俄乌冲突以来，黑客行动主义组织活跃度持续增长；在僵尸网络领域，以HailBot、RapperBot为代表的新型家族在2025年针对我国AI大模型DeepSeek的攻击中活跃度显著提升，表明攻击目标已从传统网站与基础设施扩展至AI等高价值新兴场景。同时，绿盟科技伏影实验室2025年新发现的httpbot.NutsBot及chachatea等僵尸网络迅速进入活跃度前十，其在攻击手段隐蔽性和快速部署能力方面均有显著提升。尤其是NutsBot,仅用两天便将React2Shell漏洞(CVE-2025-55182)武器化，快速控制大量目标，彰显新兴家族的高效成军能力。此外，2025年新出现的僵尸网络大多集成了针对HTTP及HTTPS的攻击能力，表明DDoS攻击正由以流量消耗为主逐步向会话与应用层资源消耗转型。熟能力维持基本盘，“新兴”家族通过技术创新和目标拓展不断提升影响力。未来，两者并存乃至融合发展的趋势将更加明显，攻击手段与目标范围也将进一步多样化，对网络安全防护提出了更高要求。7DDoS攻击威胁报告根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，2025年DDoS攻击的月度分布总体呈现上升趋势，尤其是年末的几个月，攻击事件数量大幅增长。相较2024年，2025年有8个月的攻击事件数量超过了去年水平，全年整体攻击事件数量增长了22.36%。2025年，印巴冲突、伊朗核问题谈判、委内瑞拉总统被抓等一系列现实世界中的矛盾映射到了网◆2023年◆2024年一-2025年1月2月3月4月5月6月7月8月9月10月11月12月图2.1DDoS攻击事件月度分布从2024至2025年超过500Gbps规模的DDoS攻击事件来看，超大流量攻击呈现出明显的常态化特征。攻击峰值带宽主要集中在500Gbps至1Tbps区间，峰值包速率则主要分布在0.5—2Bpps8老老NSFOCUSDDoS攻击威胁报告与2024年相比，2025年超大规模DDoS攻击事件数量显著上升，整体事件数增长115.72%,反映出攻击强度的增长。2025年单次攻击的最高峰值出现在5月，峰值带宽达到2.6Tbps,较2024年的1.9Tbps有明显提升，反映出攻击者发起超大规模攻击的能力进一步增强。同时，2025年攻击的平均峰值带宽较上一年增加约30Gbps,而平均峰值包速率却有所下降，这说明攻击者正通过增加单包数据量来放大攻击效果，体现出其攻击策略的调整与演进。2024年……2025年平均峰值带宽………2024年平均峰值带宽……2025年平均峰值包速率……2024年平均峰值包速率峰值带宽/Gbps图2.22024~2025年攻击峰值超500GbpsDDoS攻击事件分布2025年网络层/传输层DDoS攻击类型中，ACKFlood攻击位居首位，且已连续两年保持增长趋势，成为当前最主要的攻击手段。其次是SYNFlood攻击，该类攻击仍以利用TCP连接建立与维护机务暴露面持续扩大，为此类基于会话消耗的攻击提供了更大的施展空间。UDPFlood攻击位列第三，相较2024年攻击规模有所上升，但与2023年相比呈现下降趋势，整体占比持续回落。总体来看，DDoS攻击正逐步从单纯的流量冲击型向更具隐蔽性和针对性的会话消耗型演进，对网络层和传输层的防护能力提出了更高要求。90.00%5.00%10.00%15.00%20.00%2■2023年■2024年■2025年越来越多的企业和网站开始强制使用HTTPS协议，这使得基于HTTPS的攻击成为了攻击者的首选方式。随机子域名攻击占比为30.98%,自2023年以来该攻击模式已经连续两年增长。此类攻击具有较强的隐蔽性，识别和防御难度较高。同时，DNS作为互联网域名解析的关键基础服务，一旦受到攻击甚至瘫痪，往往会引发大范围的连锁影响，影响面较广。而HTTPFlood攻击则呈现下降趋势，连续两年减少。这是因为HTTP协议较为简单，容易被检测和拦截，防御手段逐渐成熟使得这一类型的攻击难度加大，攻击者倾向于选择更具隐蔽性的攻击方式。DDoS攻击威胁报告HTTPSFlood0.00%10.00%图2.4应用层攻击手段分布2.2.3反射放大攻击分布在2025年的反射放大DDoS攻击中，CLDAP反射、DNS反射和NTP反射位居前三，攻击占比的反射放大攻击手段。反射攻击增长尤为显著,其占比由约6%大幅攀升至45%,呈现出明显的爆发式增长态势；DNS反射攻击占比虽出现小幅回落，但整体仍维持在较高水平；相比之下，NTP反射攻击占比下降明显，其整体影响力持续减弱。50.00%30.00%0.00%Onvif反射■2024年■2025年图2.5反射放大攻击手段分布本老NSFOCUSDDoS攻击威胁报告2025年，多向量DDoS攻击态势持续加剧，攻击模式由单一手段向多种攻击方式协同发起的趋势现增长，反映出攻击复杂度和组织化程度不断提升。随着攻击工具与攻击服务的门槛持续降低，多向量攻击已被集成进自动化攻击平台，攻击者可在短时间内灵活切换或叠加多种攻击方式，以绕过基于单一特征的防护策略。其中，2种攻击向量组合的增长最为显著,成为多向量攻击扩散的主要形式。4vector3vector2vector图2.62023~2025年攻击向量分布其次为巴西(19.68%)、土耳其(13.66%)和孟加拉(10.97%)。这一分布反映出攻击者在目标响范围。与此同时，地缘政治因素仍在持续影响攻击目标分布。2025年多起网络攻击活动与地区冲突密切相关，伊朗以1.69%的占比进入前十，反映出其在区域政治博弈及网络对抗中的活跃程度和受关注度。0.70%0.69%其他伊朗土耳其英国新加坡中国26.64%巴西韩国德国图2.7攻击目标地理位置分布2.3.2攻击目标服务分布2025年，DDoS攻击的主要目标仍集中在HTTP和HTTPS服务，两者依然是Web业务最核心的对外服务入口。但与2024年相比，针对这两种服务的攻击占比出现一定程度的下降。与此同时，针对DNS服务的攻击已连续两年呈现上升趋势。DNS服务承担着互联网域名解析这一关键基础功能。随着互联网业务规模持续扩大、网站数量不断增长，DNS服务在整体业务体系中的重要性进一步凸显。一旦DNS服务受到攻击，往往会对大范围业务访问产生连锁影响，导致网站或应用整体不可用。BGPBGP服务TELNET服务DNS服务HTTP服务HTTPS服务0.00%10.00%20.00%30.00%40.00%50.00%60.00%图2.82023~2025受攻击端口趋势2025年，DDoS攻击时长主要集中在5分钟以下和1小时至24小时两个区间，占比分别为32.63%和32.98%,呈现出“短时高频”与“中长时持续”并存的特征。其中，5分钟以下的短时攻击多用于探测防护能力或配合其他攻击行动，攻击发起迅速、结束快，具有较强的隐蔽性，容易对监测和响应机制形成干扰。而1小时至24小时的持续性攻击则更侧重于资源消耗和业务中断，通过长时间施压迫使防御系统处于高负载状态，从而放大攻击影响。大于1天大于1天1小时到24小时10分钟到30分钟30分钟到60分钟5分钟到10分钟5分钟以下图2.9攻击时长分布监测数据显示，2025年应用层攻击源分布在152个国家，覆盖范围超过全球70%的国家。我国应用层攻击源占比最高，达到22.82%,其次为美国和俄罗斯，占比分别为12.50%和7.27%。上述国家攻击源占比较高，与其互联网规模庞大、在线资产数量集中以及终端和服务器安全水平差异密切相关。此外，印度尼西亚、越南、泰国等东南亚国家亦进入攻击源分布前十，主要原因在于其互联网和云资源规模快速增长，公网资产数量持续增加，而整体安全防护和运维成熟度相对不足，容易被攻击者批量利用并作为攻击跳板。2%1%7.27%6.78非重复%应用层攻击源TO4.15%P103.67%3.35%2.79%2.54%中国美国俄罗斯印度尼西亚巴西越南泰国墨西哥哥伦比亚图2.10攻击源地理位置分布DDoS攻击威胁报告3.1有组织DDoS攻击攻击组织概况根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，2025年，明确DDoS攻击组织的攻击事件主要源自NoName057(16)、Keymous+、DarkStormTeam、HEZIRASH、MrHamza、RipperSec.SERVERKILLERS、ElectronicArmySpecialForces、Redwolfcyber、ArabianGhos缘政治冲突和宗教问题中选择立场的攻击组织。2.22%3.50%-2.67%其他41.26%25.75%25.75%图3.1活跃DDoS攻击组织从2025年有组织的DDoS攻击活动的月度统计数据来看，攻击事件在4月、5月、6月和8月异常频繁，这四个月的攻击事件数量占全年总量的比重超过四分之一，显示出明显的攻击高峰期。与2024年相比，2025年每个月有组织的DDoS攻击事件数量均有所增加，其中5月的攻击事件数量更是同比增长超过5倍。这一显著增长表明，DDoS攻击组织的活动频率和规模正在大幅提升。本老NSFOCUSDDoS攻击威胁报告40020001月2月3月4月5月6月7月8月9月10月11月12月图3.2有组织DDoS攻击事件月度分布2025年，以色列、乌克兰、泰国、法国、美国、德国等124个国家或地区遭受DDoS攻击组织攻击情况相对严重，特别是以色列和乌克兰，遭受有组织DDoS攻击的占比高达14.62%和8.25%。这些国家之所以成为DDoS攻击的主要受害者，与地缘政治、敌对关系和宗教冲突等因素密切相关。西班牙比利时西班牙比利时3.63%2.73%德国3.94%4.86%法国_5.23%泰国5.33%乌克兰8.25%1.92%丹麦波兰2.52%其他42.82%其他34.29%以色列意大利3.68%摩洛哥2.12%与无组织的DDoS攻击行业分布不同，有组织的DDoS攻击主要集中在政府、交通、金融等相关行业，而不是游戏、互联网等行业。政府实体遭受的DDoS攻击增加表明民族主义DDoS攻击组织正在支持具有政治动机的攻击活动。2.70%-2.19%2.70%-2.19%2.86%2.15%5.37%-5.37%-3.76%3.76%教育一4.65%其他行业29.17%其他35.15%广播媒体图3.4有组织DDoS攻击行业分布3.1.32025年典型攻击组织图3.5NoName057(16)组织Logo纱纱NSFOCUSNoName057(16)也称为NoName05716、05716nnm或Nnm05716,是一支具有亲俄倾向的黑客组织，自2022年3月起开始进入公众视野，与Killnet和其他亲俄组织属于同一阵营。NoName057(16)通过Telegram频道进行信息发布和行动协调，频繁宣布对各类攻击行动负责并分享相关技术教育内容。同时，利用GitHub平台进行DDoS工具代码的托管与维护。该团队还开发了一种名为DDOSIA的DDoS攻击工具，并创建专门的Telegram频道用于DDOSIA攻击工具的宣传与该组织在2025年主要针对乌克兰、法国、德国、意大利等国进行DDoS攻击，其中对乌克兰、法国和德国的攻击强度尤为显著,攻击行业主要分布于政府管理、交通运输、网络电信等行业。政府管理政府管理运输与物流网络与电信政府与公共部门能源与公用事业■制造业乌克兰法国法国德国NoName057(16)西班牙西班牙比利时比利时波兰中国台湾立陶宛其他行业图3.6NoName057(16)组织攻击目标老老NSFOCUSDDoS攻击威胁报告图3.7Keymous+组织LogoKeymous+是一个自2023年底以来逐渐活跃的网络攻击组织，该组织自称“北非黑客”,但其真实身份和背景尚不明确。2025年，Keymous+声称发动了超过1000起分布式拒绝服务(DDoS)攻击，攻击范围覆盖欧洲、北非、中东、亚洲和北美部分地区。Keymous+攻击目标具有高度随机性，涉及四十多个国家和七十多个行业，包括政府网站、电信运 营商、金融平台、教育网站以及交通运输业基础设施等。Keymous+的DDoS攻击主要由“Beta团队”负责实施，该团队在2025年全年都十分活跃，攻击具有持续性和蓄意性。Keymous+自称拥有“Alpha团队”和“Beta团队”的双团队结构，“Alpha团队”负责漏洞和泄露，但目前处于不活跃状态；“Beta团队”则专注于DDoS攻击。该组织与其他黑客行动主义团体的合作日益密切，例如NoName057(16)、MrHamza、AnonSec、RabbitCyberTeam、HunterKillerz、MoroccanDragons等。通过联合行动，Keymous+不仅扩大了其运营范围，还巩固了其在黑客行动主义生态系统中的核心参与者形象。此外，Keymous+可能与名为EliteStress的商业DDoS攻击服务公司关系密切，该平台提供DDoS攻击服务，价格从每天5欧元到每月600欧元不等。EliteStress提供多种攻击向量，用户可通过选择目标IP地址、攻击向量并设置攻击持续时间来发起攻击。该组织在2025年主要针对摩洛哥、法国、印度、埃及、以色列等国进行DDoS攻击，其中对摩洛哥的攻击强度尤为显著,攻击行业主要分布于政府管理、金融服务、网络电信等行业。求老NSFOCUS法国印度埃及以色列柬埔寨丹麦美国其他国家/地区其他行业信息技术服务能源与公用事业教育图3.8Keymous+组织攻击目标图3.9MrHamza组织LogoMrHamza是一个自2024年5月开始活跃的黑客组织，该组织自称维护摩洛哥王国和伊斯兰国家的利益，疑似来源于摩洛哥。MrHamza组织以DDoS攻击、网站入侵和信息泄露为主要手段，针对以色列、法国、阿尔及利亚、西班牙、美国等国家的政府机构、金融机构和媒体平台发动网络攻击。该组织在Telegram上发布攻击声明，强调政治和意识形态动机，声称支持摩洛哥和伊斯兰国家并反对特定国家的政策，常常使用英语和阿拉伯语发声。其行动涉及破坏政府网站、银行系统和新闻平台，并通过不断招募新成员扩展影响力。MrHamza组织自称合作的Botnet组织有RebirthBotnet、CypherrBotnet、CrtzBotnet、EliteBotnet、MapleBotnet、KaitenBotnet、ElementBotnet、BlankBotnet、Blaz该组织在2025年主要针对以色列、美国、西班牙、德国、印度、英国、法国、意大利、比利时等国家进行DDoS攻击，攻击行业主要分布于国防与航天、政府管理、军事工业、航空与航天、石油与天然气等。国防与航天以色列政府管理政府与公共部门军事工业航空与航天石油与天然气信息技术服务■造船其他行业西班牙MrHamzaMr德国比利时其他国家/地区NSFOCUSNSFOCUSDDoS攻击威胁报告RipperSec是一个活跃的黑客组织，主要从事DDoS攻击、数据泄露和网站入侵。该组织在Telegram平台上发布攻击声明，并展示其行动成果。RipperSec的攻击目标多样，涵盖政府、新闻和电信行业等，其攻击行为通常伴随政治或意识形态动机。该组织曾宣称攻击以色列、英国、德国、印度等国的多个网站，并与其他黑客团体(如HelangMerahGroup、4-Exploitation、TengkorakCyberCrew等)合作进行网络攻击。RipperSec还积极分享攻击检测报告，并利用匿名代理服务(如Socks5)隐藏其行动轨迹，显示出较强的组织化和技术能力。该组织在2025年主要针对以色列、泰国、美国、印度、阿联酋、瑞典、澳大利亚、韩国、斯洛伐克等国发起DDoS攻击，攻击行业主要分布在政府管理、信息技术服务、教育、非营利与社会组织、赌博与赌场等。政府管理以色列信息技术服务非营利与社会组织赌博与赌场■体育■房地产■广播媒体■政府与公共部门阿联酋斯洛伐克其他国家/地区图3.13NullsecPhilippines组织Logo纱NSFOCUSDDoS攻击威胁报告NullsecPhilippines是一个活跃于网络空间的黑客组织，疑似与菲律宾存在一定关联。该组织由“NullSecPhilippines”与“PinoyHulkSec”联合组成，自称代表“现代菲律宾黑客行动主义”。其核心信条是“真相不应被噤声，权力必须永远被问责”(thattruthshouldneverbesilenced,andpowermustalwaysbeheldaccountable)。该组织及其盟友宣称具备全面的网络行动能力，包括“深入侦察”(deepreconnaissance)与“全方位网络行动”(full-spectrumcyberoperations)。NullsecPhilippines声称其行动目标包括突破腐败体系、揭露政府基础设施中的安全漏洞，并实施精准定向的网络攻击。该组织在2025年主要针对中国等国家和地区发起DDoS攻击，攻击行业主要分布在政府管理、教育、军事等。中国台湾以色列新加坡摩洛哥教育美国泰国■国防与航天■航空与航天其他国家/地区英国科威特3.1.4AI驱动的vire.ccDDoS攻击平台经溯源发现，NullsecPhilippines攻击组织曾在其Telegram频道创建初期宣传过vire.ccDDoS压测平台，这表明该组织在攻击中使用了该平台。Addons|METRICZ·$80PRIVATE|Monthlyl4slots$25|UNBANvire.ccvire.cc-Top#1Layer7StresserTop#1Layer7solution,bypassGeoandCDN.AI-basedmethods图3.15NullsecPhilippines宣传vire.ccDDoS压测平台vire.cc自称具有新一代DDoS攻击技术，主要面向第七层目标，甚至融入了基于AI的攻击手法，vire.cc平台当前支持的攻击方式仅限于应用层(第七层),共包括4种方法：Al-TEMPEST、Ourservicemethodsaredesignedtouseadvancedtechniquesandlatestvolumetricexploits.Allowingforamaximumimpact.●Al-TEMPEST:基于AI的自适应攻击方法，该方法可以针对目标自动化做出最有效的攻击方案及设置。●CDN-BREAK:该方法专门为使用CDN服务的网站以及以CloudFlare为防护手段的目标量身定制，旨在绕过其流量分发和安全防护机制，从而对受保护的应用层资源直接施加压力。●JS-ENGINE:该方法专门针对具有交互式防护机制的网站而设计.通过浏览器仿真技术来模拟真实用户的访问行为，攻击流量在表现形式上与合法请求几乎无异，能够有效绕过依赖浏览器交互验证(如JavaScript运算、Cookie校验或动态令牌生成)的安全机制。●PKT-FLOOD:高性能的洪水式攻击工具，能够在单位时间内产生极高的请求数(Requestspersecond),以此迅速耗尽目标服务器的处理能力和带宽资源。DDoS攻击威胁报告3.2僵尸网络从僵尸网络活跃度分布来看，当前DDoS攻击仍以传统“老牌”家族为主导。其中，XorDDoS与Mirai稳居前两位，占比分别达到48.99%和31.52%。与2024年相比，XorDDoS活跃度有所上升，而Mirai则呈现一定回落，但两者在规模、传播能力及持续运营方面仍具备显著优势，持续占据主导地位。与此同时，随着AI技术的快速发展，攻击目标正逐步向Al相关基础设施延伸。2025年初，HailBot与RapperBot参与针对我国Al大模型DeepSeek的攻击行动，受此影响，相较于2024年，两者活跃度明显提升，分别位列第三和第四，反映出僵尸网络在目标选择上的新变化趋势。此外，绿盟科技伏影实验室于2025年新发现的httpbot、NutsBot以及chachatea等新型僵尸网络，其活跃度已进入前十，凸显出新兴家族扩张速度之快，表明攻击生态正在不断演化，新旧家族并存的格局愈发明显。90%70%60%50%40%30%20%0%XorDDoSMiraiHailbotRapperBotFBothttpbot图3.18僵尸网络活跃度分布29纱纱NSFOCUSDDoS攻击威胁报告3.2.2僵尸网络攻击方式分布从僵尸网络攻击方式分布来看，当前DDoS攻击仍以会话消耗型攻击为主。其中，SYNFlood以47.81%的占比位居首位，接近整体的一半，表明通过消耗目标服务器连接资源的经典半连接攻击方式仍是主流手段。TCPFlood(13.03%)与GREFlood(11.84%)分列第二、第三位，进一步体现出攻击者倾向于利用传输层及隧道协议放大流量，对目标网络带宽与设备处理能力进行持续压制。UDPFlood(7.89%)、ProxyFlood(6.12%)和VSEFlood(3.25%)构成第二梯队。其中，ProxyFlood与VSEFlood可视为在UDPFlood基础上的演进型攻击手段，在特定场景下具备更强的针对性与破坏能力。其他其他ACKFlood6.12%图3.19僵尸网络攻击方式分布3.2.3僵尸网络攻击目标分布从僵尸网络攻击目标分布来看，我国为僵尸网络主要目标，我国以40.23%的占比位居首位，远高于其他国家，表明我国庞大的互联网规模、丰富的在线业务及关键基础设施使其成为主要攻击目标。美点范围。30排名第三的是巴林，占比16.36%。这一结果反映出中东地区在特定时期内可能成为攻击活动的集中区域，通常与区域业务集中度提升或阶段性网络对抗活动有关。荷兰、新加坡和英国紧随其后，这些国家普遍具备发达的互联网基础设施和较高的网络资源承载能力，因此同样容易成为攻击者选择的目标。总体来看，僵尸网络攻击目标主要集中于互联网规模大、经济价值高的国家。但在特定时期，受局部事件或区域性因素影响，个别国家的攻击占比也可能出现阶段性上升。3.54%3.58%40.23%图3.20僵尸网络攻击目标分布近年来，随着AI技术的高速发展，针对AI系统的DDoS攻击逐渐显现。2025年1月，境外攻击4.1DeepSeek崛起背后的暗流：全球Al技术博弈下的DDoS攻击系统监测数据显示，2025年1月25日15:33:31、2025年1月26日13:12:44、2025年1月27日18:09:45,IP地址65