《2026 DDoS攻击威胁报告》

THETHEFEWTHEPROFESSIONALDDsS‹9MA@łBODDoS攻击威胁报告2DDoS攻击威胁报告2C NTENTS 12502DDoSIÄMOĞîł41I 6 7 8 11 13 13 15 16 28DDoS攻击威胁报告4DDoS攻击威胁报告4DDoS攻击威胁报告一DDoS攻击威胁报告一. 专家观点1DDoS随着智能体与大模型技术的普及，DDoS攻击正经历一次根本性的范式跃迁。其核心竞争力已从传统的带宽规模和资源堆积，转向以认知速度、策略精度和决策链路效率为中心的智能化对抗。AI驱动DDoS攻击实现侦察、攻击、规避全流程自动化，显著压缩了攻击生命周期，倒逼防御端必须完成同等维度的范式重构。在侦察阶段，AI能够自动开展目标分析，重点包括域名与IP资产梳理、CDN与Anycast节点识别、真实源站定位、端口与服务暴露面探测，以及关键业务接口的请求特征分析。进一步地，结合协议响应AI（等），并评估其在高并发场景下的承压阈值。AIL3/L4/L7HTTP在攻击端的动态规避方面，智能体会持续监测目标的防护策略变化，并在检测到拦截迹象后即时调IPvire.cc在内的多个DDS攻击平台已经将I应用在攻击中，AI可以通过对目标进行分析，确定针对目标的最佳设置。1.1vire.ccAIDDoSDDoSDDoS战术策略演进，趋向靶向精准化攻击近年来，DDoS攻击的演进路径愈发清晰：从早期单纯的“炫技式骚扰”，全面迈向“靶向精准打击”新阶段，战术策略持续升级迭代，针对性不断强化。在攻击时机选择上，“精准狙击”特征愈发凸显，攻击者不再盲目发起攻击，而是紧盯目标核心业务节点。例如在产品发布、业务高峰等本就承载高流量的时段叠加恶意流量，使系统负载被急剧放大，显著增加防护难度，并使业务中断影响呈指数级放大，同时会造成更大的负面影响。另外，国际冲突、重大赛事、大选等热点事件窗口期，攻击者往往聚焦政府、金融、通信等关键行业网站发动定向打击，意图实现最大化破坏效果。与此同时，攻击目标也呈现新的演化趋势，API接口正成为攻击者重点瞄准的“新靶点”。目前，随着企业数字化进程加速，第三方API已成为核心业务逻辑的重要组成部分。尤其在AI技术普及的推动下，各类AI产品的API在行业内高度渗透，其“轻前端、重后端”的特性使其极易被攻击者利用：仅需发起极小流量的恶意请求，即可触发后端服务器复杂计算与资源调度，大量消耗算力、内存及数据库资源，以极低攻击成本达成业务瘫痪的目标，实现“单点突破、全链影响”的攻击效果。2022202320242025DDoS2024DeepSeek-R1使用高峰期的攻击事件更直观体现了策略调整——攻击者专门锁定10:00-22:00接口及对话系统，与正常流量叠加实现攻击效果放大，呈现出极强的靶向性特征。图1.2DeepSeekDDoS总体来看，DDoS攻击的演化本质在于“精准化”与“高针对性”。无论是在攻击时机的选择，还是目标定位的策略上，攻击者均以“最大化破坏效应、最小化攻击成本”为核心原则，形成更具靶向性DDoS防御体系带来了全新的挑战。DDoS攻击组织演进，“老牌”主导，“新兴”高速崛起DDoSXorDDo、Mirai为代表的经典僵尸网络仍占据绝对主导地位，80DDoS另一方面，受地缘政治、网络新型漏洞发现以及AI技术快速发展的推动，新型DDoS攻击组织正加速崛起，逐步改变既有生态格局。例如，自俄乌冲突以来，黑客行动主义组织活跃度持续增长；在僵尸网络领域，以HailBot、RapperBot为代表的新型家族在2025年针对我国AI大模型DeepSeek的AI2025年新发现的httpboNutsBot及chachatea等僵尸网络迅速进入活跃度前十，其在攻击手段隐蔽性和快速部署能力方面均有显著提升。尤其是NutsBo，仅用两天便将React2Shell漏洞（CVE-2025-55182）武器化，快速控制大量目标，彰显新兴家族的高效成军能力。此外，2025HTTPHTTPSDDoSDDoSDDoS攻击威胁报告二DDoS攻击威胁报告二. DDoS攻击趋势特征6攻击强度攻击事件分布根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，2025DDoS攻击的月度分布总体呈现2024年8个月的攻击事件数量超过了去年水平，全年整体攻击事件数量增长了22.36。2025DDoS攻击事件增长。另一方面，AI的快速崛起也导致针对AI接口厂商的DDoS激增。2.1DDoS攻击强度分布20242025500GbpsDDoS化特征。攻击峰值带宽主要集中在500Gbps至1Tbps区间，峰值包速率则主要分布在0.5—2Bpps之间。与2024年相比，2025年超大规模DDoS攻击事件数量显著上升，整体事件数增长115.72%，反映出攻击强度的增长。2025年单次攻击的最高峰值出现在5月，峰值带宽达到2.6Tbps，较2024年的1.9Tbps有明显提升，反映出攻击者发起超大规模攻击的能力进一步增强。同时，2025年攻击的平均峰值带宽较上一年增加约30Gbps，而平均峰值包速率却有所下降，这说明攻击者正通过增加单包数据量来放大攻击效果，体现出其攻击策略的调整与演进。图2.22024~2025500GpsDDoS攻击手段网络层/传输层攻击分布2025年网络层/传输层DDoS攻击类型中，ACKFlood攻击位居首位，且已连续两年保持增长趋势，成为当前最主要的攻击手段。其次是SYNFlood攻击，该类攻击仍以利用TCP连接建立与维护机制消耗系统资源。近年来，随着AI技术迅速发展，云服务器、在线业务及API接口被大规模部署，业务暴露面持续扩大，为此类基于会话消耗的攻击提供了更大的施展空间。UDPFlood攻击位列第三，相较2024年攻击规模有所上升，但与2023年相比呈现下降趋势，整体占比持续回落。总体来看，DDoS攻击正逐步从单纯的流量冲击型向更具隐蔽性和针对性的会话消耗型演进，对网络层和传输层的防护能力提出了更高要求。图2.3传输层攻击手段分布应用层攻击分布2025年，应用层攻击中，HTTPSFlood攻击仍占据主导地位，占比高达45.03%，相较于2024年略有增长。这与加密通信的普及和HTTPS协议本身的特点密切相关。随着互联网安全要求的提高，越来越多的企业和网站开始强制使用HTTPSHTTPS的攻击成为了攻击者的首选方式。其次，DNS随机子域名攻击占比为30.98，自2023年以来该攻击模式已经连续两年增长。此类而HTTPFlood攻击则呈现下降趋势，连续两年减少。这是因为HTTP协议较为简单，容易被检测和拦截，防御手段逐渐成熟使得这一类型的攻击难度加大，攻击者倾向于选择更具隐蔽性的攻击方式。2.4应用层攻击手段分布反射放大攻击分布2025DDoSCLDAPDNSNTP分别为45.52%、33.34%和16.18%。其中，CLDAP反射攻击占据绝对主导地位，已成为当前最主要的反射放大攻击手段。2024年相比，CLDAP6%45%，呈现出明显的爆发式增长态势；DNS反射攻击占比虽出现小幅回落，但整体仍维持在较高水平；相比之下，NTP反射攻击占比下降明显，其整体影响力持续减弱。图2.5多向量攻击分布2025DDoS攻击态势持续加剧，攻击模式由单一手段向多种攻击方式协同发起的趋势20242种、3种、45种及以上攻击向量组合的攻击事件数量均出现增长，反映出攻击复杂度和组织化程度不断提升。随着攻击工具与攻击服务的门槛持续降低，多向量攻击已被集成进自动化攻击平台，攻击者可在短时间内灵活切换或叠加多种攻击方式，以绕过基于单一特征的防护策略。其中，2

2.62023~2025攻击目标地域分布监测数据显示，2025年DDoS攻击目标中，我国占比最多，占比26.64%，这主要源于我国庞大的互联网规模、关键基础设施的重要性以及较高的经济价值，使其持续处于攻击者的重点关注范围之内。（19.68（13.66%（10.97%与此同时，地缘政治因素仍在持续影响攻击目标分布。2025年多起网络攻击活动与地区冲突密切相关，伊朗以1.69%的占比进入前十，反映出其在区域政治博弈及网络对抗中的活跃程度和受关注度。图2.7攻击目标服务分布2025年，DDoSHTTPHTTPSWeb业务最核心的2024年相比，针对这两种服务的攻击占比出现一定程度的下降。DNSDNS服务承担着互联网域名解析这一服务在整体业务体系中的重要DNS服务受到攻击，往往会对大范围业务访问产生连锁影响，导致网站或应用整体不可用。2.82023~2025攻击时长攻击时长分布2025DDS攻击时长主要集中在5分钟以下和1小时至2432.63%和32.98，呈现出“短时高频”与“中长时持续”并存的特征。其中，5124攻击资源

2.9攻击时长分布攻击源分布监测数据显示，202515270用层攻击源占比最高，达到22.82%，其次为美国和俄罗斯，占比分别为12.50%和7.27%。上述国家攻击源占比较高，与其互联网规模庞大、在线资产数量集中以及终端和服务器安全水平差异密切相关。此外，印度尼西亚、越南、泰国等东南亚国家亦进入攻击源分布前十，主要原因在于其互联网和云资源规模快速增长，公网资产数量持续增加，而整体安全防护和运维成熟度相对不足，容易被攻击者批量利用并作为攻击跳板。图2.10DDoS攻击威胁报告三DDoS攻击威胁报告三. 攻击组织15有组织DDoS攻击活跃DDoS攻击组织概况根据绿盟科技伏影实验室全球威胁狩猎系统的监测数据，2025DDoSNoName057(16)Keymous+DarkStormTeamHEZIRASMrHamzaRipperSe、SERVERKILLER、ElectronicArmySpecialForces、Redwolfcybe、ArabianGhosts等在地缘政治冲突和宗教问题中选择立场的攻击组织。3.1活跃DDoS2025DDoS4月、5月、68月异常频繁，这四个月的攻击事件数量占全年总量的比重超过四分之一，显示出明显的攻击高峰期。2024年相比，2025DDoS5月的攻击事件5倍。这一显著增长表明，DDoS攻击组织的活动频率和规模正在大幅提升。3.2DDoSDDoS攻击目标2025124DDoS攻击组织攻DDoS攻击的占比高达14.62和8.25%DDoS攻击的主要受害者，与地缘政治、敌对关系和宗教冲突等因素密切相关。3.3有组织DDoS地区与无组织的DDoS攻击行业分布不同，有组织的DDoS攻击主要集中在政府、交通、金融等相关行业，而不是游戏、互联网等行业。政府实体遭受的DDoS攻击增加表明民族主义DDoS攻击组织正在支持具有政治动机的攻击活动。图3.4DDoS2025年典型攻击组织NoName057(16)组织图3.5NoName057(16LogoNoName057(16)也称为NoName057105716nnm或Nnm05712022年3月起开始进入公众视野，与Killnet和其他亲俄组织属于同一阵营。NoName057(16)通过Telegram频道进行信息发布和行动协调，频繁宣布对各类攻击行动负责并GitHub平台进行DDoS一种名为DDOSIA的DDoSTelegram频道用于DDOSIA攻击工具的宣传与交流。2025DDoS3.6NoName057(16组织攻击目标Keymous+组织3.7KeymousLogoKeymous202320251000攻击，攻击范围覆盖欧洲、北非、中东、亚洲和北美部分地区。Keymous营Keymous+的DDoSBeta团队”2025Keymous+AlphaBetaAlpha露，但目前处于不活跃状态；“Beta团队”则专注于DDoS攻击。该组织与其他黑客行动主义团体的NoName057(16)MrHamzaAnonSeRabbitCyberTeamHunterKillerz、MoroccanDragons等。通过联合行动，Keymous+不仅扩大了其运营范围，还巩固了其在黑客行动主义生态系统中的核心参与者形象。Keymous+可能与名为EliteStress的商业DDoSDDoS攻击服务，价格从每天5欧元到每月600欧元不等。EliteStress提供多种攻击向量，用户可通过选择目标IP地址、攻击向量并设置攻击持续时间来发起攻击。2025DDoS图3.8Keymous+组织攻击目标MrHamza组织3.9MrHamzaLogoMrHamza是一个自2024年5月开始活跃的黑客组织，该组织自称维护摩洛哥王国和伊斯兰国家的利益，疑似来源于摩洛哥。MrHamza组织以DDoS攻击、网站入侵和信息泄露为主要手段，针对以色列、法国、阿尔及利亚、西班牙、美国等国家的政府机构、金融机构和媒体平台发动网络攻击。该组织在Telegram上发布攻击声明，强调政治和意识形态动机，声称支持摩洛哥和伊斯兰国家并反对特定国家的政策，常常使用英语和阿拉伯语发声。其行动涉及破坏政府网站、银行系统和新闻平台，并通过不断招募新成员扩展影响力。MrHamza组织自称合作的Botnet组织有RebirthBotnet、CypherrBotnet、CrtzBotnet、EliteBotne、MapleBotne、KaitenBotne、ElementBotnet、BlankBotne、BlazeBotne。2025年主要针对以色列、美国、西班牙、德国、印度、英国、法国、意大利、比利时等DDoS图3.10MrHamzaRipperSec组织图3.11RipperSecLogoRipperSec是一个活跃的黑客组织，主要从事DDoS攻击、数据泄露和网站入侵。该组织在Telegram平台上发布攻击声明，并展示其行动成果。RipperSec的攻击目标多样，涵盖政府、新闻和电信行业等，其攻击行为通常伴随政治或意识形态动机。该组织曾宣称攻击以色列、英国、德国、印度（如HelangMerahGroup4-ExploitationTengkorakCyberCrw等）合作进行网络攻击。RipperSec还积极分享攻击检测报告，并利用匿名代理服务（如Socks5）隐藏其行动轨迹，显示出较强的组织化和技术能力。2025年主要针对以色列、泰国、美国、印度、阿联酋、瑞典、澳大利亚、韩国、斯洛伐DDoS图3.12RipperSecNullsecPhilippines组织图3.13NullsechilippinesLogoNullsecPhilippines是一个活跃于网络空间的黑客组织，疑似与菲律宾存在一定关联。该组织由“NullSecPhilippines”与“PinoyHulkSec”联合组成，自称代表“现代菲律宾黑客行动主义”。其核心信条是“真相不应被噤声，权力必须永远被问责”（thattruthshouldneverbesilenced,andpowermustalwaysbeheldaccountable）。该组织及其盟友宣称具备全面的网络行动能力，（deepreconnaissance（full-spectrumcyberoperations。NullsecPhilippines2025DDoS3.14NullsechilippinesAI驱动的vire.ccDDoS攻击平台经溯源发现，NullsecPhilippines攻击组织曾在其Telegram频道创建初期宣传过vire.ccDDoS压测平台，这表明该组织在攻击中使用了该平台。图3.15Nullsechilippinesvire.ccDDoSvire.cc自称具有新一代DDoS攻击技术，主要面向第七层目标，甚至融入了基于AI的攻击手法，其主要特点包括：具有大量的攻击资源。完全定制化攻击，可定制每个IP的速率、攻击来源国家、HTTP版本等。具有响应式仪表板和不受限制的API发送攻击。vire.cc平台当前支持的攻击方式仅限于应用层（第七层），共包括4种方法：AI-TEMPEST、CDN-BREA、JS-ENGINE与PKT-FLOOD。3.16下一代攻击技术图3.17vire.cc各个攻击方法介绍如下：AI-TEMPEST：基于AI的自适应攻击方法，该方法可以针对目标自动化做出最有效的攻击方案及设置。CDN-BREAK：该方法专门为使用CDN服务的网站以及以CloudFlare为防护手段的目标量身定制，旨在绕过其流量分发和安全防护机制，从而对受保护的应用层资源直接施加压力。JS-ENGINE：该方法专门针对具有交互式防护机制的网站而设计，通过浏览器仿真技术来模器交互验证（如JavaScript运算、Cookie校验或动态令牌生成）的安全机制。PKT-FLOOD（Requestspersecond），以此迅速耗尽目标服务器的处理能力和带宽资源。僵尸网络僵尸网络家族活跃度分布从僵尸网络活跃度分布来看，当前DDoS攻击仍以传统“老牌”家族为主导。其中，XorDDoS与Mirai48.99%和31.52%2024XorDDoSAIAI2025HailBot与RapperBot参与针对我国AI大模型DeepSeek2024此外，绿盟科技伏影实验室于2025年新发现的httpbot、NutsBot以及chachatea等新型僵尸网络，其活跃度已进入前十，凸显出新兴家族扩张速度之快，表明攻击生态正在不断演化，新旧家族并存的格局愈发明显。图3.18僵尸网络攻击方式分布从僵尸网络攻击方式分布来看，当前DDoS攻击仍以会话消耗型攻击为主。其中，SYNFlood以47.81%是主流手段。TCPFlood（13.03%）与GREFlood（11.84%）分列第二、第三位，进一步体现出攻击者倾向于利用传输层及隧道协议放大流量，对目标网络带宽与设备处理能力进行持续压制。UDPFlood（7.89%）、ProxyFlood（6.12%）和VSEFlood（3.25%）构成第二梯队。其中，ProxyFlood与VSEFlood可视为在UDPFlood基础上的演进型攻击手段，在特定场景下具备更强的针对性与破坏能力。图3.19僵尸网络攻击目标分布从僵尸网络攻击目标分布来看，我国为僵尸网络主要目标，我国以40.23%的占比位居首位，远高于其他国家，表明我国庞大的互联网规模、丰富的在线业务及关键基础设施使其成为主要攻击目标。美国以18.81%位列第二，同样由于其高度发达的数字经济体系和全球互联网核心地位，长期处于攻击重点范围。排名第三的是巴林，占比16.36%。这一结果反映出中东地区在特定时期内可能成为攻击活动的集中区域，通常与区域业务集中度提升或阶段性网络对抗活动有关。荷兰、新加坡和英国紧随其后，这些国家普遍具备发达的互联网基础设施和较高的网络资源承载能力，因此同样容易成为攻击者选择的目标。总体来看，僵尸网络攻击目标主要集中于互联网规模大、经济价值高的国家。但在特定时期，受局部事件或区域性因素影响，个别国家的攻击占比也可能出现阶段性上升。3.20DDoS攻击威胁报告四DDoS攻击威胁报告四. 全年攻击大事件31近年来，随着AI技术的高速发展，针对AI系统的DDoS攻击逐渐显现。2025年1月，境外攻击DeepSeekDDoS与此同时，国际局势持续动荡，网络空间与现实世界的联动性日益增强，网络攻击与地缘政治事件2025DDoS攻击事件，相关攻击均与现实世界的政治或军事冲突高度相关。攻击被用于配合现实军事行动，形成“现实冲突网络打击”的双重施压态势；在伊朗核问题谈判阶段，以伊双方相关网络空间亦频DDoS攻击，DDoS攻击成为博弈与对抗的重要延伸手段。DeepSeek崛起背后的暗流：全球AI技术博弈下的DDoS攻击2025年1月25日15:33:32025年1月26日13:12:42025年1月7日18:09:45，IP地址65遭受3波DDoS攻击，该IP地址为deepseekAPI接口（）