Cloudflare 2025 年第一季度 DDoS 威脅報告： DDoS 攻擊較去年同比增長 358%

2025 年第一季，全球 DDoS 攻擊規模與頻率均創新高。Cloudflare 報告指出，該季共攔截了 2,050 萬次 DDoS 攻擊，年增率高達 358%，其中網路層攻擊成長尤為顯著，並出現史上最大規模的 6.5 Tbps 及 4.8 Bpps 攻擊紀錄。這些攻擊活動多為多媒介手法，持續時間雖短，卻足以癱瘓未受防護的網路資源。攻擊來源遍及 147 國，目標涵蓋雲端服務、遊戲、博弈、金融等產業。報告強調，面對攻擊規模與速度的提升，僅依賴手動防禦已難及時應對，主動且自動化的安全防護成為企業必備。

雖然本報告主要關注 2025 年第一季度，但亦包括 2025 年 4 月觀察到的超流量 DDoS 攻擊活動的最新資料，其中包括一些有史以來公開披露的最大型攻擊。

• 2025 年第一季，Cloudflare 封鎖了 2,050 萬次 DDoS 攻擊。這表示，較去年同比 (YoY) 增長 358%，較上一季度環比 (QoQ) 增長 198%。

• 作為持續 18 天的多媒介攻擊活動的一部分，其中約三分之一（即 660 萬）直接針對 Cloudflare 網路基礎架構。

• 此外，在 2025 年第一季，Cloudflare 封鎖了約 700 起超過 1 Tbps 或 1 Bpps 的超流量 DDoS 攻擊，平均每天約 8 起攻擊。

我們的自主防禦封鎖了所有攻擊。

2025 年第一季，我們封鎖了 2,050 萬次 DDoS 攻擊。相較之下，在 2024 日曆年，我們封鎖了 2,130 萬次 DDoS 攻擊。就在上個季度，我們封鎖的內容已達到 2024 年封鎖內容的 96%。

最顯著的增長是網路層 DDoS 攻擊。2025 年第一季，我們封鎖了 1,680 萬次網路層 DDoS 攻擊。較上一季度環比增長 397%，較去年同比增長 509%。HTTP DDoS 攻擊亦有所增加，較上一季度環比增長 7%，較去年同比增長 118%。

我們依據系統產生的唯一即時指紋來統計 DDoS 攻擊。在某些情況下，單一攻擊或攻擊活動可能會產生多個指紋，在套用不同的緩解策略時尤其如此。雖然這偶爾會導致計數增加，但該指標提供了指定期間內攻擊活動的強大整體指標。

在第一季度封鎖的 2,050 萬次 DDoS 攻擊中，有 1,680 萬次為網路層 DDoS 攻擊，其中有 660 萬次直接針對 Cloudflare 的網路基礎架構。另外還有 690 萬次攻擊針對受 Cloudflare 保護的託管提供者和服務提供者。

這些攻擊是持續 18 天的多媒介 DDoS 攻擊活動的一部分，其中包括 SYN 洪水攻擊、產生 Mirai 的 DDoS 攻擊和 SSDP 放大攻擊，等等。與所有 2,050 萬次攻擊一樣，我們的 DDoS 防禦系統自主偵測並封鎖了這些攻擊。

在下面的圖表中，針對 Cloudflare 的每日攻擊彙總用藍色線條表示，其他顏色則表示使用 Cloudflare 的 Magic Transit 服務，同時受到攻擊的各個託管提供者和網際網路服務提供者。

超流量 DDoS 攻擊是指超過 1-2 Tbps 或 1 Bpps 的攻擊。在 2025 年第一季度，我們封鎖了 700 多次此類攻擊。每 100,000 次網路層 DDoS 攻擊中，約有 4 次是超流量攻擊。超流量 DDoS 攻擊往往透過 UDP 進行。

雖然本報告主要關注 2025 年第一季度，但我們認為，還必須強調持續至第二季度的重大超流量、破紀錄的 DDoS 攻擊。因此，我們納入了該攻擊活動的初步深入解析。

2025 年 4 月下旬，Cloudflare 的系統自動偵測並封鎖了數十次超流量 DDoS 攻擊，這是一場激烈攻擊活動的一部分。最大的攻擊峰值分別為 4.8 Bpps 和 6.5 Tbps，這些大規模攻擊通常持續 35 至 45 秒。這次攻擊的流量為 6.5 Tbps，堪稱迄今為止公開披露的最大規模 DDoS 攻擊。從封包強度角度來看，4.8 Bpps 的攻擊是有史以來披露的最大型攻擊，相較於之前 3.15 Bpps 的攻擊記錄，規模約增加 52%。

在調查遭受 DDoS 攻擊的 Cloudflare 客戶時，大多數客戶表示不知道是誰攻擊了他們。知情者反映，其競爭對手是攻擊背後的頭號威脅行為者 (39%)，與上一季度類似。這在遊戲和博彩產業中相當普遍。

另有 17% 的受訪者表示，攻擊是由國家級或國家支援的威脅執行者發起的。還有差不多比例的受訪者表示，心懷不滿的使用者或客戶是攻擊的幕後黑手。

另有 11% 的受訪者反映，他們錯誤地對自己進行了 DDoS 攻擊（自我 DDoS 攻擊），而類似的百分比顯示，勒索者是攻擊的幕後黑手。6% 的受訪者反映，這些攻擊由心懷不滿者或前員工發起。

在網路層，SYN 洪水攻擊仍是最常見的第 3/4 層 DDoS 攻擊手段，其次是 DNS 洪水攻擊。位列第三的是 Mirai 發起的 DDoS 攻擊，取代了 UDP 洪水攻擊。

在 HTTP 領域，識別並封鎖的攻擊中，超過 60% 為已知殭屍網路，21% 是具有可疑 HTTP 屬性的攻擊，另有 10% 由冒充瀏覽器的殭屍網路發起，其餘 8% 為一般洪水攻擊、不尋常的攻擊請求模式，以及快取破壞攻擊。

2025 年第一季度，CLDAP 反射/放大攻擊較上一季度環比增長了 3,488%。CLDAP（無連線輕量級目錄存取通訊協定）是 LDAP（輕量級目錄存取通訊協定）的一種變體，用於查詢和修改在 IP 網路上執行的目錄服務。CLDAP 是無連線的，使用 UDP 而不是 TCP，使其更快但可靠性較低。因為這種通訊協定使用 UDP，不需要交握，這讓攻擊者可以偽造 IP 位址，將其作為反射手段。這些攻擊傳送帶有偽造來源 IP 位址（受害者的 IP）的小查詢，導致伺服器向受害者傳送大量回應，使後者不堪重負。緩解措施包括篩选和監控異常的 CLDAP 流量。

此外，ESP 反射/放大攻擊較前一季度環比增長 2,301%。ESP（封裝安全性負載）通訊協定是 IPsec 的一部分，可為網路通訊提供機密性、驗證和完整性。然而，如果惡意執行者利用設定錯誤或易受攻擊的系統來反射或放大流向目標的流量，則該通訊協定可能會在 DDoS 攻擊中被濫用，從而導致服務中斷。與其他通訊協定一樣，保護和正確設定使用 ESP 的系統對於封鎖 DDoS 攻擊的風險至關重要。

儘管超流量攻擊有所增加，但大多數 DDoS 攻擊規模較小。在 2025 年第一季，99% 的第 3/4 層 DDoS 攻擊的速率低於 1 Gbps 和 1 Mpps。同樣，94% 的 HTTP DDoS 攻擊為每秒 100 萬個請求 (rps)。然而，「小型」是一個相對術語，大多數網際網路資產甚至無法承受這些小型攻擊。這些攻擊可輕鬆地使未受保護的網際網路連結飽和，並使未受保護的伺服器崩潰。

此外，大多數攻擊持續時間很短。89% 的第 3/4 層 DDoS 攻擊和 75% 的 HTTP DDoS 攻擊會在 10 分鐘內結束。即使是規模最大、破紀錄、超流量的 DDoS 攻擊，持續時間也可能非常短，例如上面範例中的 35 秒攻擊。35 秒甚至 10 分鐘的時間不足以採用手動緩解或啟用隨需解決方案：安全分析師收到警示並分析攻擊時，一切都已經結束了。雖然攻擊可能非常短暫，但攻擊的涓流效應會導致網路和應用程式故障，並可能需要數日才能恢復，而所有這些都是在服務關閉或降級的情況下進行的。目前的威脅狀況已沒有時間進行人工干預。偵測和緩解應永遠開啟、內嵌且自動化，並且具有足夠的處理能力和全球覆蓋範圍，能夠處理攻擊流量以及合法的尖峰時間流量。

另一方面，超過 1 Mrps 的超流量 HTTP DDoS 攻擊，其份額翻了一倍。2025 年第一季，每 100 次 HTTP DDoS攻擊中有 6 次超過 1 Mrps。在網路層，每 10 萬次攻擊中有 1 次超過 1 Tbps 或 1 Bpps。

2025 年第一季度，全球遭受攻擊最多的前 10 個地點發生了重大變化。德國躍升顯著，攀升了四位，成為遭受攻擊最多的國家。位列第二的土耳其也激增了 11 位。另一方面，位列第三的中國內地比上一季下降了兩位，而香港則保持不變。印度上升了四位，巴西保持不變。台灣地區下降了四位。菲律賓的降幅最大，下降了 6 位。然而，韓國和印尼的排名均上升了兩位。

2025 年第一季度遭受攻擊最多的前 10 個產業發生了一些顯著變化。博彩業上升了四位，成為遭受攻擊最多的產業，而電信、服務提供者和電信業則下滑了一位。資訊技術和服務以及網際網路產業波動幅度較小，分別上升了一位和下降了兩位。遊戲以及銀行和金融服務產業的排名均上升了一位，而網路安全產業的排名較上一季大幅躍升了 37 位。零售業的排名略有下降，而製造業、機械、技術和工程產業的排名則激增了 28 位。航空、航天和太空產業的漲幅最大，上升了 40 位，在最受攻擊的產業中位列第十。

※文章來源：按此閱讀 Cloudflare 官方完整全文報告。

隨著威脅情勢不斷演變，我們看到許多組織仍然只在遭遇攻擊後才採用 DDoS 防護，或依賴過時的隨需解決方案。相較之下，Cloudflare 的資料顯示，那些採用主動安全性策略的企業的複原能力要強得多。

面對日益嚴峻且多元化的網路攻擊威脅，企業必須具備前瞻且主動的資安防禦策略。

樂雲智能身為 Cloudflare 台灣授權經銷商，擁有多張專業證照與豐富實務經驗，能協助企業從售前諮詢、架構規劃到部署與維運，量身打造最適合的 Cloudflare 解決方案。樂雲智能整合 DDoS 防護、Web 應用防火牆（WAF）、CDN 加速、零信任架構、郵件安全等多元服務，並提供技術支援與即時監控，協助企業提前因應現有與新興威脅，確保營運不中斷、資料安全與效能兼顧。選擇樂雲智能，企業不僅能快速導入國際級資安平台，更能享有在地化顧問輔導與彈性客製化服務，全面提升資安韌性與競爭力。

導入國際級資安防禦，讓樂雲為您量身規劃