2025年全球DDoS攻击态势分析报告

2025年全球DDoS攻击2025年全球DDoS攻击态势分析关键信息摘要关键信息摘要1.1专家观点021.2DDoS攻击态势021.3DDoS僵尸网络态势031.4典型攻击案例攻击态势05攻击态势052.1DDoS攻击态势052.2DDoS僵尸网络态势23典型攻击案例3.1AI大模型成为攻击目标263.2首次监测到真实源扫段攻击27专家观点282025年全球DDoS攻击态势分析观点1：OutboundIndiscriminateBombing正挑战AS（自治系统）级出口带宽冗余，反推防护体系向“近1.2DDoS攻击态势互联网史上最大带宽和最大包速率攻击均被大幅刷新，攻击峰值带宽高达31.4Tbps1，攻击峰值包速率高达 2025年全球DDoS攻击态势分析 2025年，扫段攻击持续呈现多样化态势。62.89%的扫段攻击呈现低速态势，挑战传统检测算法有效性；传媒和互联网、金融、政府和公共事业、教育依然是TOP4攻击目标行业。2025年，传媒和互联网、金融、政府和公共事业、教育依然是TOP4攻击目标行业，攻击频次占比依次为全球攻击目标地域分布依次为APAC、NA、EMEA、LATAM，中国TOP3攻击目标地域分布依次为广东、江1.3DDoS僵尸网络态势肉鸡地域分布：肉鸡全球地域分布依次为APAC、EMEA、NA、LATAM，占比依次为79.01%、8.36%、2025年全球DDoS攻击态势分析 2025年全球DDoS攻击态势分析 2.1DDoS攻击态势2023-2025年攻击频次月度分布651,639509,582481,468417,618405,427417,672417,618405,427387,171367,552362,802370,220367,552362,802350,088309,909282,989309,909355,451261,247355,451255,506243,981255,610255,506243,981228,565216,750230,519228,565216,750209,576200,575186,590242,302189,494209,576200,575186,590242,302174,864154,158154,730144,683208,715154,158154,730144,683183,717177,786183,717151,912162,085151,912146,7591月2月3月4月5月2023年7月2024年8月9月10月11月12月2025年联网生态风险以及全球黑产利益驱动等多重因素而维持超高占比，拉美则因数字化加速与安全失衡，成为攻2025年全球DDoS攻击态势分析100%90%80%70%60%50%40%30%20%10%0%1月2月3月4月5月6月7月8月9月10月11月12月2025年全球范围来看超大规模攻击激增。2025年，互联网史上最大带宽和最大包速率攻击记录均被刷新，是2024年创纪录的2,100Mpps的6.71倍。最大带宽和最大包速率攻击记录均由Aisuru僵尸网络发起的），近六年年度最大DDoS攻击态势31,40014,1005,6003,4702,5052,1003,2,5052,1002,3001,020 9721,02086152539820546617.2202020212022202320242025HTTP峰值请求速率Mrps峰值包速率Mpps峰值带宽Gbps 2025年全球DDoS攻击态势分析 2025年攻击峰值带宽分布（不包括中国大陆Gbps）1,40291476648842535427128227123823022621123823022621119520217521202175213415713812712612614613812712612696869299834657544229382930162621246242968692998346575442293829301626212462421514221月2月3月4月5月6月7月8月9月10月11月12月2025年攻击峰值包速率分布（不包括中国大陆Mpps）27122516715015013912611692939292938672665443442625643442625644414130242427302424171312119987777121713121199877776544221265442211月2月3月4月5月6月7月8月9月10月11月12月2025年全球DDoS攻击态势分析2023-2025年攻击峰值带宽月度分布（Gbps）2,7802,6042,5052,2202,2102,2201,9301,9301,8851,8621,9301,9301,8851,7801,5601,6201,5601,5201,5401,4301,3601,3421,3301,2581,3201,0761,2131,3601,3421,3301,2581,3201,0761,2131,3011,2911,2091,2001,1901,1001,2201,2091,2001,1901,1001,0901,0831,1201,0141,0701,0901,0831,1201,0149391月2月3月4月5月2023年6月7月8月9月10月11月2024年2025年12月2023-2025年超500Gbps攻击频次月度分布1,432891518375366253375366253416353287373324248224324248224159294221149622302521752372211496223025217523728148886521115216715280173317701月2月3月4月5月2023年6月7月8月9月10月11月12月 o2024年o2025年 2025年全球DDoS攻击态势分析 2023-2025年超800Gbps攻击频次月度分布18717415210810289766261625250465150464235364235363215132151312364272364272517121212121611月2月3月4月5月2023年6月7月8月9月10月11月12月 o2024年o2025年2023-2025年攻击峰值包速率月度分布（Mpps）1,1219739437596816696876686816696876325936045935785805585785785805585535345385535345065155064234224233943983673843913943983673843683593163683593162952942852992852321月2月3月4月5月2023年6月7月8月9月10月11月2024年2025年12月2025年全球DDoS攻击态势分析2025年月度平均攻击峰值带宽353330293028272828272625攻击流量带宽︵Gbps攻击流量带宽︵Gbps︶21212018171510810501月2月3月4月5月6月7月8月9月10月11月12月87攻击流量包速率︵Mpps攻击流量包速率︵Mpps︶666654433331月2月3月4月5月6月7月8月9月10月11月12月 2025年全球DDoS攻击态势分析 112025年，低强度攻击显著提升，T级攻击频次略降，但仍维持高位。小于5Gbps的攻击占比从2024年的58.9%进一步提升到2025年的86.04%。小于5Gbps的攻击主要由会话层、应用层及低速扫段攻击组成，2023-2025年攻击流量峰值带宽区间分布1.46%0.95%2.87%.50%.50%.92%16.91%24.75%10.73%.39%14.62%.90%0.09%0.43%0.65% .20%24.75%.03%.42%.86%.09%.00%.48%0.13%0.62%1.18%.94%.94%.52%.20%10.80%.76%.54%.83%34.47%0.21%0.25%1.38%.75%.75%.92%.82%.68%.32%18.97%26.43%.26%0.60%0.20%0.58%...02%.54%.50%.28%.77%55.04%.19%3.13%0.63%0.34%...21%.28%.84%.51%11.76%25.04%32.53%0.11%0.04%0.08%0.15%0.15%.86%.03%.64%.31%.27%30.39%22.11%0.42%0.12%0.42%.28%.28%.12%.07%9.52%.29%40.05%.29%.0.60%.1.40%0.58%.. .00% 52%.99%.99%.33%.99%27.85%59.46%0.30%0.07%0.28%...71%.13%...05%.21%62.90%25.01%0.02%0.01%0.01%...08%.75%.58%.13%.19%89.57%8.64%0.45%0.43%0.20%.19%.19%.21%.75%.89%.82%62.51%.21%2023Q12023Q22023Q32023Q42024Q12024Q22024Q32024Q42025Q12025Q22025Q32025Q4<1G1-5G5G-10G10G-20G20-50G50-100G100-200G.200-300G300-400G400-500G>=500G瞬时泛洪攻击继续呈秒级加速态势，爬升至300Gbps-400Gbps区间只需2秒，爬升至800Gbps-1Tbps区间，仅需10秒，极大挑战检测防御系统攻击感知与响应速度。传统基于Netflow检测的动态引流清洗模式受到极大挑战。秒级甚至毫秒级响应，将攻击压制在源头，利用AI模型对流量模式进行持续预测，识别攻2025年瞬时泛洪攻击2秒即可爬升至400G450攻击峰值带宽︵Gbps攻击峰值带宽︵Gbps︶35030025020015010050042340342340340040237239737235634030634427026827026826022919217617317617316700秒1秒2秒3秒样本1样本2样本3样本5样本72025年全球DDoS攻击态势分析攻击峰值带宽︵Gbps攻击峰值带宽︵Gbps︶1200100080060040020009689239689238708618708590000秒10秒20秒30秒40秒50秒2023年2024年2025年层攻击类型，依次占比35.24%、15.00%、14.68%、11.56%、8.37%。UDP反射攻击频次从2024服务商已全面部署限速策略并形成常态化防护机制。这一措施显著削弱了此类攻击的实际效果，进而导致其2023-2025年网络层攻击类型分布UDPFloodACKFloodUDPFragmentFloodSYNFloodICMPFloodFIN/RSTFloodUDPReflectionTCPReflectionTCPFragmentFloodDNSFlood13.14%35.24%14.62%12.88%15.00%5.92%16.44%14.68%14.81%10.64%11.56%2.44%3.12%8.37%1.53%3.94%4.89%14.87%24.77%4.21%3.22%5.09%3.38%0.42%2.56%2.67%0.60%7.42%0.00%41.59%2023年2024年2025年 2025年全球DDoS攻击态势分析 2023-2025年TOP5UDP反射类型分布Memcached3.04%0.45%36.35%45.15%34.86%18.24%13.32%21.40%26.23%23.97%7.24%7.33%0.19%0.15%2023年2024年2025年62.07%2023-2025年典型TCP反射攻击源端口分布2023年2024年2025年0%21222120%10%20%44523538144530%40%50%689143317231900330660%70%80%90%100%3389506075478080300105800080/4432025年全球DDoS攻击态势分析HTTPSFloodHTTPFlood2023-2025年应用层攻击类型分布63.65%62.11%57.98%20.15%17.73%12.55%8.81%14.52%18.41%11.06%7.39%11.06%7.39%5.63%2023年2024年2025年2023-2025年攻击矢量分布1Vector2Vectors3Vectors4Vectors>=5Vectors41.08%29.03%4.95%11.43%20.65%2.48%12.79%20.50%0.77%15.15%12.08%19.55%17.74%46.09%45.71%2023年2024年2025年 2025年全球DDoS攻击态势分析 于数据中心强大的骨干网带宽，攻击者常利用高吞吐性能发起高并发扫段以追求效率于部分区域高昂的流量成本以及更严格的行为审计机制，攻击者更多采用低速探测或分布式碎片扫段，通过2025年扫段攻击强度分布62.89%37.11%62.89%2025年单C段攻击持续时间占比4.18%12.71%13.04%23.28%28.29%18.50%<=5分钟5-10分钟10-30分钟30-60分钟1-12小时>12小时2025年全球DDoS攻击态势分析2025年扫段攻击复杂度分布10.83%89.17%2025年扫段攻击类型分布6.74%8.23%35.02%8.66%11.69%14.08%15.58%UDPFloodACKFloodUDPReflectionSYNFloodFIN/RSTFloodICMPFloodTCPReflection 2025年全球DDoS攻击态势分析 5.DDoS攻击复杂度持续演进》OutboundIndiscriminateBombing攻击冲击南美多国抗D设备IGWIGWIGW服务器1服务器3洪无差别轰炸攻击，攻击目标极其分散，拥塞IGW出口带宽。传统方案只对目标网络进行防护，无差别轰》通过开源扫描工具的端口探测报文+公开nmap-service-probesnmap-service-probes攻击者首先从开源扫描工具收集端口探测报文，随后从公开威胁情报平台获取反射节点信息，最终基于这些信息构造具有隐蔽性和多样性的新型反射攻击。现网发现基于UDP10001端2025年全球DDoS攻击态势分析》通过对数十个IP段进行端口扫描与活跃端口建立海量连接，拥塞关键中间节点数十个24攻击者对数十个24位掩码段发起端口扫描，一旦发现有开放的端口，就发起大量连接，导致防火墙会话资2025年攻击高发时段与往年保持一致。攻击者旨在以最低成本实现最大破坏效果，因此其攻击时间紧密贴2025年攻击发生时段分布01234567891011121314151617181920212223<1G1-5G5G-10G10G-20G20-50G50-100G100-200G200-300G>300G 2025年全球DDoS攻击态势分析 攻击频次周天分布显示，周末及周二攻击频次最低，周四达到顶峰。在攻击强度方面，<5Gbps带宽区间的2025年攻击周天分布<1G1-5G5G-10G10G-20G20-50G50-100G100-200G200-300G>300G2023-2025年网络层攻击持续时间分布>12小时1-12小时30-60分钟10-30分钟5-10分钟<=5分钟0.94%0.11%0.35%5.75%1.36%1.98%16.92%1.09%2.66%20.42%6.87%12.06%17.60%12.76%21.69%38.38%61.25%77.82%0.00%10.00%20.00%30.00%2023年40.00%2024年50.00%60.00%2025年70.00%80.00%90.00%2025年全球DDoS攻击态势分析2023-2025年应用层攻击持续时间分布>12小时1-12小时30-60分钟10-30分钟5-10分钟<=5分钟0.85%1.68%1.92%6.58%8.80%5.92%6.73%6.39%8.19%29.54%44.17%26.67%12.53%20.62%29.63%26.44%14.36%48.99%0.00%10.00%20.00%2023年30.00%2024年40.00%2025年50.00%60.00%2023-2025年攻击持久性分布100次以上50-100次10-50次5-10次2-5次1次1.42%5.18%0.80%1.16%5.46%7.80%8.38%18.82%19.59%9.49%11.47%17.42%30.07%30.47%27.84%28.60%26.54%49.49%0.00%10.00%20.00%2023年30.00%2024年40.00%2025年50.00%60.00% 2025年全球DDoS攻击态势分析 2025年，传媒和互联网、金融、政府和公共事业、教育依然是TOP4攻击目标行业，攻击频次占比依次为2023-2025年行业分布80.00%71.23%70.00%59.88%60.00%55.92%60.00%50.00%40.00%30.00%20.00%17.52%20.00%12.22%7.92%12.58%11.75%7.13%7.29%2.85%3.79%1.31%7.92%12.58%11.75%7.13%7.29%2.85%3.79%1.31%4.81%0.29%1.74%5.13%3.65%0.48%1.30%0.87%0.26%0.74%0.19%2.98%0.43%2.98%1.30%0.87%0.26%0.74%0.19%2.98%0.43%0.72%0.71%0.43%0.70%0.07%0.11%0.72%0.71%0.43%0.70%0.07%0.00%2023年2024年2025年金融、教育、工业互联网、交通行业受攻击频次占比连续三年增长。金融行业攻击频次占比相比于2023年2023-2025年行业攻击频次趋势分布100%.26%.07%.74%.26%.07%90%.71%.43%90%.71%.43%55.92%12.22%.29%.92%80%12.22%.29%.92%12.58%70%60%12.58%70%60%50%.79%.30%71.23%.65%.29%.48%71.23%.65%.29%.74%40%.74%.81%.19%17.52%.81%.19%.13%30%.13%.87%.70%.31%11.75%.87%.70%.31%11.75%59.88%.43%59.88%.98%.11%10%.98%.11%.72%.85%.72%0%2023年2024年2025年2025年全球DDoS攻击态势分析2025年攻击目标地域分布显示，针对NA和EMEA的攻击提升较大，针对NA的攻击占比从2024年的2025年攻击目标全球地域分布9.57%19.93%49.02%21.48%2024-2025年攻击目标中国大陆地域分布 0.00%5.00%10.00%15.00%20.00%25.00%30.00%35.00%40.00%2024年2025年 2025年全球DDoS攻击态势分析 2.2DDoS僵尸网络态势僵尸网络家族TOP5分布（按C2数量）3.03%1.42%7.74%Mirai16.19%Mozi变种Mozi变种GafgytKinsing僵尸网络家族TOP10分布（按攻击次数）15.61%10.95%13.11%1.58%6.39%3.38%1.17%6.82%1.89%2.19%43.73%RapperBotXorddosMirai.a1Mirai.kingstonMirai.beesFicoraMirai.cFastCatInfectedSlursMirai.gorilla2025年全球DDoS攻击态势分析DDoS僵尸网络C2全球地域分布1.64%19.42%39.79%39.15%2025年DDoS僵尸网络C2中国地域分布40.00%35.00%30.00%25.00%20.00%15.00%10.00%5.00%0.00%34.15%10.69%8.44%7.88%7.50%8.44%5.25%5.07%3.19%3.00%宁夏重庆天津福建湖北吉林广西陕西云南台湾上海湖南河北四川山西浙江江苏辽宁广东北京山东香港河南2.06%宁夏重庆天津福建湖北吉林广西陕西云南台湾上海湖南河北四川山西浙江江苏辽宁广东北京山东香港河南2.06%1.88%1.69%1.69% 2025年全球DDoS攻击态势分析 2.2.3DDoS肉鸡地域分布2025年DDoS肉鸡全球地域分布4.45%8.17%8.36%8.17%79.01%2025年DDoS肉鸡中国地域分布14.00%13.13%12.00%10.00%8.92%7.67%8.00%7.67%6.78%6.00%5.13%6.00%5.04%4.78%4.45%3.77%3.64%3.60%3.77%4.00%3.60%4.00%3.38%3.05%2.27%2.47%2.18%.79%1.35%1.79%1.35%1.79%2.00%1.27%1.79%2.00%1.27%1.35%1.22%0.96%0.78%1.35%0.98%0.88%0.64%0.57%0.18%0.32%0.13%0.06%0.00%澳门澳门西藏香港青海宁夏台湾天津海南吉林山西新疆甘肃辽宁重庆云南贵州陕西江西湖北安徽河南湖南广西河北山东四川北京上海浙江福建江苏广东2025年全球DDoS攻击态势分析2025年初AI行业DDoS攻击流量分布2025/1/220:302025/1/2421:452025/1/2422:202025/1/2515:252025/1/2617:202025/1/2722:202025/1/282025/1/220:302025/1/2421:452025/1/2422:202025/1/2515:252025/1/2617:202025/1/2722:202025/1/2810:302025/1/2811:052025/1/2813:252025/1/2922:202025/1/2922:552025/1/302:052025/1/3018:102025/1/3018:452025/1/3021:152025/1/3021:502025/2/313:402025/2/316:352025/2/317:10 2025年全球DDoS攻击态势分析 HTTPURI分布26.89%73.11%非法URI合法URIHTTPMethod分布0.12%20.42%79.47%GETPOSTOthers21%1%1%1%1%1%1%2%2%3%55%Others4%8%TCP/UDP反射扫段新增网络层CC扫段利用开放服务器生成反射攻击反射型与直接泛洪扫段混合