AI 企業攻擊流量激增 347%，殭屍網路席捲 -《Cloudflare 2025 年第三季 DDoS 威脅報告》

本報告根據來自Cloudflare 網路的資料，對不斷演變的分散式阻斷服務 (DDoS) 攻擊威脅情勢提供深入分析。2025 年第三季的主角無疑是 Aisuru 殭屍網路，其掌控著全球約 100 萬至 400 萬台受感染主機所組成的龐大陣容。Aisuru 發動了超流量的 DDoS 攻擊，流量經常超過每秒 1 兆位元 (Tbps)，封包量則突破每秒 10 億個 (Tbps)。這類攻擊的次數較上一季激增 54%，平均每天出現 14 次超流量攻擊。其規模前所未見，最高峰時達到 29.7 Tbps 與 14.1 Bpps。

DDoS 攻擊數量

截至 2025 年目前（年內尚餘一個季度），Cloudflare 已緩解 3620 萬次 DDoS 攻擊，相當於 2024 年全年緩解總量的 170%。

2025 年第三季，Cloudflare 自動偵測並緩解了 830 萬次 DDoS 攻擊，較上一季增長 15%，較去年同期增長 40%。

網路層 DDoS 攻擊佔 2025 年第三季所有 DDoS 攻擊的 71%，共計 590 萬次，較上一季增長了 87%，較去年同期增長了 95%。然而，HTTP DDoS 攻擊僅佔 2025 年第三季所有 DDoS 攻擊的 29%，共計 240 萬次，較上一季下降了 41%，較去年同期也減少了 17%。

2025 年第三季，Cloudflare 平均每小時緩解 3780 次 DDoS 攻擊。

破壞性力量

Aisuru 以電信業者、遊戲公司、代管服務服務商，以及金融服務業等為目標（僅舉數例）。正如 Krebs on Security 所報告的那樣，由於大量殭屍網路流量透過網際網路服務提供者 (ISP) 路由，Aisuru 也造成了「[美國]大範圍的附帶網際網路中斷」。

仔細想想。如果 Aisuru 的攻擊流量在那些網際網路服務提供者甚至不是攻擊目標的情況下，就能造成美國部分網際網路基礎架構的中斷，那麼想像一下，當它直接瞄準缺乏保護或防護不足的 ISP、關鍵基礎架構、醫療保健服務、緊急救援服務，以及軍事系統時，又會造成什麼樣的後果。

殭屍網路租賃服務和 DDoS 統計資料

經銷商將 Aisuru 的「片段」作為殭屍網路出租，因此任何人只要花費幾百到幾千美元，就有可能使骨幹網路癱瘓、使網際網路連線飽和，進而造成整個國家的混亂，打斷數百萬使用者的網路使用，並妨礙他們存取基本服務。

自 2025 年初以來，Cloudflare 已成功緩解了 2867 次 Aisuru 攻擊。光是第三季，Cloudflare 就緩解了 1304 次 Aisuru 發動的超流量攻擊，季增 54%。這些攻擊包括打破世界紀錄的 29.7 Tbps DDoS 攻擊和 14.1 Bpps DDoS 攻擊。

這次 29.7 Tbps 的攻擊是一種 UDP 地毯式轟炸攻擊，平均每秒對 1.5 萬個目的地連接埠進行轟炸。該分散式攻擊隨機變化各種封包屬性，試圖規避防禦措施，但 Cloudflare 的抵禦系統偵測並完全自主地緩解了所有攻擊，包括這一次。閱讀《Cloudflare 如何緩解超流量 DDoS 攻擊》，瞭解更多資訊。

雖然大多數 DDoS 攻擊的規模相對較小，但在第三季，超過每秒 1 億個封包 (Mpps) 的 DDoS 攻擊數量較上一季增加了 189%。同樣地，超過 1 Tbps 的攻擊也較上一季成長了 227%。在 HTTP 層級方面，每 100 次攻擊中就有 4 次超過每秒 100 萬次請求。

此外，多數攻擊（71% 的 HTTP DDoS 與 89% 的網路層攻擊）都在 10 分鐘內結束。這樣的時間太短，人員或按需防禦服務根本無法即時反應。一次短暫的攻擊可能只持續幾秒鐘，但它造成的干擾卻可能非常嚴重，而且恢復所需的時間遠比攻擊本身長得多。工程與營運團隊往往必須執行複雜且多步驟的流程，才能讓關鍵系統重新上線、檢查分散式系統間的資料一致性，並繼續為客戶提供安全可靠的服務。

無論是否為超流量攻擊，短時間 DDoS 攻擊的影響往往會延伸到攻擊持續時間之外，造成長遠影響。

在十大攻擊來源地中，有七個位於亞洲地區，其中印尼位居首位。印尼是全球最大的 DDoS 攻擊來源，自 2024 年第三季起已蟬聯世界第一長達整整一年。而在這之前，印尼也一直名列攻擊來源榜單前列。例如，在 2024 年第二季，印尼是第二大攻擊來源，而在此之前幾季與幾年，它的排名還曾更低，之後才逐步攀升至前兩名。

若以數據說明印尼作為 DDoS 攻擊樞紐的崛起速度，光是在五年內（自 2021 年第三季至今），源自印尼的 HTTP DDoS 攻擊請求占比便暴增了驚人的 31,900%。

遭受攻擊最多的產業

DDoS 攻擊者瞄準稀土礦物

根據多家新聞媒體報道，2025 年第三季，針對採礦、礦產和金屬產業的 DDoS 攻擊顯著增加，其原因是第 25 屆歐盟-中國貿易高峰會期間，雙方在電動車關稅、稀土出口和網路安全問題上的緊張局勢加劇。英國廣播公司 (BBC) 報道稱，「中國也提高了對稀土和關鍵礦產的出口管制。」總體而言，採礦、礦產和金屬產業在全球排名中躍升 24 位，成為全球第 49 大受攻擊產業。

汽車產業的 DDoS 攻擊增幅最為顯著，單季排名躍升 62 個位置，成為全球第六大受攻擊產業。網路安全公司的 DDoS 攻擊也明顯增加，網路安全產業排名上升 17 個名次，成為全球第 13 大受攻擊產業。

針對 AI 的 DDoS 攻擊激增了 347%

2025 年 9 月，Tony Blair Institute 的一項民意調查顯示，英國民眾普遍將 AI 視為經濟風險而非機會，引發大量關於自動化與信任的頭條新聞。英國法律委員會亦啟動對政府使用 AI 的審查，使該月成為 AI 倫理、法規及生成式 AI 採用的焦點時刻。同月，Cloudflare 也觀察到針對生成式 AI 公司的 HTTP DDoS 攻擊流量出現高達 347% 的月增幅度（以領先的生成式 AI 服務為樣本）。

前十名產業

在 2025 年第三季，資訊科技與服務業位居榜首，成為受攻擊最多的產業，其次為電信業，以及博彩與賭場業。值得注意的是，汽車產業單季排名大幅躍升 62 個名次。媒體、製作與出版業也出現急遽上升，排在其之前的則有銀行與金融服務業、零售業，以及消費性電子產業。

前十名地點

在 2025 年第三季，中國依然是全球受攻擊最多的國家，土耳其位居第二，德國位居第三。本季最顯著的變化是美國遭受的 DDoS 攻擊增加，排名躍升 11 個名次，成為第五大受攻擊國家。菲律賓在前十名中增幅最大，排名上升了 20 個位置。

網路層 DDoS 攻擊

UDP DDoS 攻擊數量較上一季增加了 231%（部分由 Aisuru 攻擊推動），成為網路層最主要的攻擊手段。DNS 洪水攻擊位居第二，SYN 洪水攻擊第三，ICMP 洪水攻擊第四——這四類合計占所有網路層 DDoS 攻擊略超過一半的比例。

儘管自首次以來已經過去將近十年，Mirai DDoS 攻擊仍然相當普遍。每 100 次網路層 DDoS 攻擊中，幾乎有 2 次是由 Mirai 殭屍網路的各種變體發起的。

HTTP DDoS 攻擊

近 70% 的 HTTP DDoS 攻擊來自 Cloudflare 早已掌握的已知殭屍網路。這體現了客戶使用 Cloudflare 服務所能獲得的優勢之一。一旦某個殭屍網路攻擊了 Cloudflare 數百萬客戶中的任意一個，所有客戶便會自動受到針對該殭屍網路的防護。

另有約 20% 的 HTTP DDoS 攻擊來自偽造或無頭瀏覽器，或是包含可疑 HTTP 屬性的請求。剩餘約 10% 則混合了一般洪水攻擊、異常請求、快取繞過攻擊，以及針對登入端點的攻擊。

我們已進入一個 DDoS 攻擊在精密程度與規模上都迅速成長的時代——其發展程度遠超過我們幾年前的想象。許多組織在應對不斷演變的威脅情況方面面臨著挑戰。

考慮到當前的威脅形勢，依賴內部部署緩解設備或按需清除中心解決方案的組織可能需要重新審視其防禦策略。

Cloudflare 擁有龐大的全球網路與自主化的 DDoS 緩解系統，致力於為所有客戶提供免費且不計量的 DDoS 防護，不論他們面對的 DDoS 攻擊規模、持續時間或數量如何。

樂雲智能持續為大家掌握最新趨勢、提供更彈性與符合您需求的方案，若有進一步想瞭解的，歡迎聯絡我們留下資料洽談!

※原文來自官方blog：Cloudflare 2025 年第三季 DDoS 威脅報告——涵蓋頂尖殭屍網路 Aisuru