2025 年第四季 DDoS 威脅報告：31.4 Tbps 破紀錄攻擊，為全年攻勢畫下句點

歡迎閱讀《Cloudflare 季度 DDoS 威脅報告》。

2025 年第四季最引人注目的，是由 Aisuru-Kimwolf 殭屍網路發動、代號為「聖誕夜前夕」(The Night Before Christmas) 的 DDoS 攻擊行動。該行動針對 Cloudflare 的客戶以及 Cloudflare 的儀表板與基礎架構發動了超大型的 HTTP DDoS 攻擊，每秒請求量超過 2 億次 (rps)；而在此之前數週，才剛發生一起創紀錄的 31.4 Tbps 攻擊。

1. 2025 年 DDoS 攻擊激增 121%，平均每小時自動緩解 5376 起攻擊。

2. 在 2025 年第四季，香港地區排名躍升 12 位，成為全球遭受 DDoS 攻擊第二嚴重的地區；英國也急升 36 位，成為第六大受攻擊地區。

3. 被植入惡意程式的 Android 電視機（屬於 Aisuru-Kimwolf 殭屍網路）對 Cloudflare 網路發動超流量 HTTP DDoS 攻擊；電信業成為遭受最多攻擊的產業。

2025 年，DDoS 攻擊總數翻倍至驚人的 4710 萬次。近年來此類攻擊急遽攀升：2023 年至 2025 年間，DDoS 攻擊數量增長 236%。

2025 年，Cloudflare 平均每小時緩解 5376 次 DDoS 攻擊，其中 3925 次為網路層攻擊，1451 次為 HTTP DDoS 攻擊。

成長最顯著的是網路層 DDoS 攻擊，年增率超過三倍。2025 年 Cloudflare 共緩解 3440 萬次網路層 DDoS 攻擊，而 2024 年為 1140 萬次。

其中約 1350 萬次攻擊針對受 Cloudflare Magic Transit 保護的全球網際網路基礎架構及 Cloudflare 自身基礎架構，這一波攻擊屬於 2025 年第一季爆發、歷時 18 天的 DDoS 攻擊行動。在這些攻擊中，690 萬次針對 Magic Transit 客戶，其餘 660 萬次則直接攻擊 Cloudflare。

該攻擊為多向量 DDoS 行動，包括 SYN 洪水攻擊、Mirai 殭屍網路產生的 DDoS 攻擊及 SSDP 放大攻擊等。我們的系統自動偵測並緩解了這些攻擊。事實上，我們是在準備 2025 年第一季 DDoS 威脅報告時才發現這波攻擊，充分展現了 Cloudflare DDoS 緩解系統的高效性！

2025 年第四季，DDoS 攻擊數量較前一季成長 31%，較 2024 年同期成長 58%。網路層 DDoS 攻擊是推動這一成長的主要因素。2025 年第四季，網路層 DDoS 攻擊佔所有 DDoS 攻擊的 78%。HTTP DDoS 攻擊次數保持穩定，但其規模急劇擴大，達到自 2023 年 HTTP/2 Rapid Reset 攻擊行動以來的最高水準。

2025 年 12 月 19 日（星期五），Aisuru-Kimwolf 殭屍網路開始對 Cloudflare 基礎架構及客戶發動超流量 DDoS 攻擊。此次行動的突出特點在於其攻擊強度：該殭屍網路發動的超流量 HTTP DDoS 攻擊峰值超過每秒 2000 萬次請求 (Mrps)。

Aisuru-Kimwolf 殭屍網路是一個由大量感染惡意程式碼的裝置組成的龐大網路，主要裝置為 Android 電視機。據估計，該殭屍網路包含了 100 萬至 400 萬台受感染的裝置主機。它能發動足以使關鍵基礎架構癱瘓、擊潰大多數傳統雲端型 DDoS 防禦系統，甚至中斷整個國家網路連線能力的攻擊。

在整個攻擊行動期間，Cloudflare 的自主 DDoS 防禦系統偵測並緩解了所有攻擊：共計 384 次封包密集型攻擊、329 次位元密集型攻擊與 189 次請求密集型攻擊，總計 902 次超大規模 DDoS 攻擊，平均每天 53 次。

攻擊期間，超大規模 DDoS 攻擊的平均強度為 3 Bpps、4 Tbps 和 54 Mrps。錄到的最高峰值達到 9 Bpps、24 Tbps 和 205 Mrps。

為幫助理解此規模：規模為 205 Mrps 的 DDoS 攻擊，相當於英國、德國與西班牙的總人口在同一秒內同時輸入一個網址並按下「Enter」鍵。

儘管「聖誕節前夜」攻擊行動極具衝擊性，但其僅占全年觀測到的超流量 DDoS 攻擊中的一小部分。

整個 2025 年，Cloudflare 觀察到超流量 DDoS 攻擊持續增長。2025 年第四季，超流量攻擊較前一季增加 40%。

隨著攻擊數量在 2025 年內持續增加，其規模也大幅成長，整體成長超過 700%，其中有一起攻擊在短短 35 秒內達到了驚人的 31.4 Tbps。下圖展示了 Cloudflare 所觀察到並成功封鎖的 DDoS 攻擊規模快速成長的趨勢——每一起都創下了當時的全球紀錄，也就是截至公開時為止，由任何企業所揭露過的最大攻擊流量。

與其他所有攻擊一樣，這起 31.4 Tbps 的 DDoS 攻擊也被 Cloudflare 的自主 DDoS 防禦系統自動偵測並成功緩解，該系統能迅速因應並鎖定 Aisuru-Kimwolf 之類的殭屍網路。

多數超流量 DDoS 攻擊針對電信、服務提供者與網路營運商產業的 Cloudflare 客戶。遊戲產業與提供生成式 AI 服務的客戶同樣遭受大量攻擊。此外，Cloudflare 自身基礎架構亦成為多種攻擊手段的目標，包括 HTTP 洪水攻擊、DNS 攻擊與 UDP 洪水攻擊。

若綜合分析所有規模的 DDoS 攻擊，電信、服務提供者與網路營運商產業同樣是受攻擊最多的產業。此前，這一不幸稱號由資訊技術與服務產業持有。

博彩和賭場以及遊戲產業分別位列第三與第四。本季前十名中變動最大的是電腦軟體與商業服務產業，兩者排名均顯著上升。

受攻擊最嚴重產業的共同特徵在於其扮演關鍵基礎架構的角色、是其他企業的核心骨幹，或對服務中斷和延遲極為敏感，會立即造成巨大的經濟損失。

在 DDoS 攻擊的地緣分布上，全球遭受最多攻擊的地點同時呈現出可預期的穩定性與戲劇性的變化。中國、德國、巴西與美國等目標持續位列前五，顯示其對攻擊者始終具有強烈的吸引力。

香港地區排名顯著上升，躍升 12 位至全球第二。然而，本季更突出的變化是英國的急遽攀升，其排名飆升 36 位，成為全球第六大遭受最多攻擊的地區。

越南保持第七位，隨後是第八位的亞塞拜然、第九位的印度，以及第十位的新加坡。

2025 年第四季，孟加拉取代印尼成為最大的 DDoS 攻擊來源地。此前維持一年榜首的印尼降至第三位。厄瓜多亦上升兩位，成為第二大攻擊來源地。

值得注意的是，阿根廷飆升 20 位，成為第四大 DDoS 攻擊來源地。香港地區上升三名，排名第五。烏克蘭排名第六，其後依序為越南、台灣地區、新加坡與祕魯。

攻擊來源網路的前十名清單宛如一份網際網路巨頭名單，揭示了現代 DDoS 攻擊架構中一個引人深思的現象。其共同點清晰可見：威脅行為者正利用全球最易存取且強大的網路基礎架構——主要是大型、對外開放的服務。

我們發現，大多數 DDoS 攻擊源自與雲端運算平台及雲端基礎架構提供者相關的 IP 位址，包括 DigitalOcean (AS 14061)、 Microsoft (AS 8075)、 Tencent (AS 132203)、Oracle (AS 31898)，以及 Hetzner (AS 24940)。這顯示出可輕鬆佈建的虛擬機器與大流量攻擊之間存在強烈關聯。這些雲端來源大多集中在美國，緊隨其後的是來自傳統電信提供者 IP 位址的大量攻擊。這些電信提供者主要來自亞太地區（包括越南、中國、馬來西亞與台灣地區），共同構成了前十大來源的其餘部分。

這種地理與組織上的多樣性，證實了現代 DDoS 攻擊的雙重現實：雖然排名最高的來源通常來自全球主要的雲端樞紐，但問題實際上是全球性的，攻擊流量透過全球網際網路中最關鍵的路徑傳送。在許多 DDoS 攻擊中，我們可看到來自數千個不同來源 ASN 的流量，凸顯出殭屍網路節點真正全球化的分布特性。

為了協助託管提供者、雲端運算平台和網際網路服務提供者識別並摧毀發動這些攻擊的濫用 IP 位址/帳戶，我們利用 Cloudflare 在 DDoS 攻擊方面的獨特優勢，為服務提供者提供免費的 DDoS 殭屍網路威脅情報源。

全球已有超過 800 個網路註冊使用此威脅情報源，我們也已見到社群間為了移除殭屍網路節點展開了良好的合作。

※文章來源：按此閱讀 Cloudflare 官方完整全文報告。

面對日益嚴峻且多元化的網路攻擊威脅，企業必須具備前瞻且主動的資安防禦策略。樂雲智能身為 Cloudflare 台灣授權經銷商，擁有多張專業證照與豐富實務經驗，能協助企業從售前諮詢、架構規劃到部署與維運，量身打造最適合的 Cloudflare 解決方案。樂雲智能整合 DDoS 防護、Web 應用防火牆（WAF）、CDN 加速、零信任架構、郵件安全等多元服務，並提供技術支援與即時監控，協助企業提前因應現有與新興威脅，確保營運不中斷、資料安全與效能兼顧。選擇樂雲智能，企業不僅能快速導入國際級資安平台，更能享有在地化顧問輔導與彈性客製化服務，全面提升資安韌性與競爭力。

導入全面資安防禦，讓樂雲為您量身規劃