随着我们进入2025年，威胁形势持续演变，分布式拒绝服务 (DDoS) 攻击的规模和复杂程度均不断增长。今年迄今为止，我们已经发现数起每秒请求数 (RPS) 超过 500 万次的重大 DDoS 攻击，这预示着全球组织正在面临令人担忧的趋势。

这些攻击的规模比我们以往见过的任何攻击都大，而且攻击速度还在不断加快——这揭示了攻击者对2025年及以后的优先事项。随着攻击者能力的提升，他们未来几年的优先事项也越来越清晰。问题不再是组织是否会面临此类破坏，而是何时会面临。

这些复杂的DDoS攻击对企业的影响巨大，足以让毫无准备的企业不堪重负。这种增长态势进一步凸显了提高警惕、采取主动措施，防范持续不断的高强度网络攻击的重要性。

攻击 #1：法国家居用品商店

第一次重大攻击发生在1月9日，针对的是一家法国家居用品商店。此次攻击在短短两个多小时内就达到了近600万次每秒请求数（RPS），并结合使用了HTTP/2快速重置技术和传统的DDoS攻击手段，通过增加每个客户端的同时请求数来扩大影响。恶意流量分布在多个地理位置，这增加了基于地理位置的过滤策略的复杂性。由于目标是一个托管大量产品信息和图片的零售网站，攻击者旨在使源服务器过载——不仅使用原始流量，还使用大量请求来检索各种产品详细信息和图片。这种策略旨在耗尽服务器资源，减慢响应时间，并扰乱合法用户的购物体验，最终影响零售商的运营和客户信任。

此次攻击背后僵尸网络的规模之大，更令人担忧。共计识别出32,381个独立IP地址参与了此次攻击，这充分表明此次攻击并非小规模行动。如此大规模的受感染设备表明，这是一个精心策划、高度分散的僵尸网络，其目标是通过向目标发送持续不断的恶意请求来造成最大程度的破坏。这再次警示我们，现代DDoS攻击的复杂性和覆盖范围日益增强，不再局限于小型僵尸网络或短暂的攻击。

在这种情况下，僵尸网络的规模会放大攻击的规模，压倒目标的防御能力，造成长时间的停机、经济损失和声誉损害。此外，这些攻击也可能是对组织韧性的考验，威胁行为者会在发动更大规模的攻击之前，先测试组织基础设施的强度。

防御如此大规模的僵尸网络需要采取多层次的方法。这包括利用能够适应高流量峰值的高级 DDoS 缓解服务、使用 Web 应用防火墙 (WAF) 过滤恶意请求，以及优先处理合法用户。此外，组织还必须制定事件响应计划，以便快速识别、缓解和恢复此类攻击，同时持续监控网络流量，以发现异常行为的早期迹象。

攻击 #2：印度尼西亚政府机构

第二次攻击发生在第一次攻击发生仅一天后，目标是印度尼西亚一家重要的政府机构。此次攻击迅速升级，每秒近1000万个请求（RPS）轰炸了该机构的基础设施。与第一次攻击仅持续两个多小时不同，这次攻击持续时间更长，持续了近14个小时。

我们观察到，攻击者采用侦察阶段来测试缓解措施，先出现短暂峰值，然后出现更大规模峰值，最后发动实际攻击，峰值达到 1000 万 RPS。这种分阶段的方法使他们能够在发动全面攻击之前探测防御措施。此次攻击利用了HTTP/2 快速重置向量，该向量可以放大单个客户端可以同时发送的请求数量，从而显著增强了影响，而无需使用大量 IP。

恶意流量主要源自印度尼西亚，但地理分布高度分散，进一步增加了缓解措施的复杂性。大多数客户端试图通过伪装成合法的 Chrome 客户端来逃避检测；然而，Imperva 客户端分类服务成功识别并阻止了这些欺骗性攻击，彰显了高级威胁检测机制在对抗现代 DDoS 攻击策略中的重要性。

与第一次攻击不同，此次攻击涉及的IP数量相对较少，仅有5,343个独立地址。这表明攻击者依赖于一个更集中、更高效的僵尸网络。虽然IP数量低于第一次攻击，但此次RPS的规模表明DDoS策略日益复杂。这些攻击不再受僵尸网络规模的限制，而是取决于攻击者如何有效地利用较少的受感染设备池来生成极大量的流量——这得益于攻击者用来最大化流量能力的HTTP/2快速重置技术。此次攻击持续时间的延长进一步凸显了攻击者持续长时间中断并击溃甚至强大防御的能力日益增强。

当 DDoS 攻击持续数小时时，其背后的动机通常是在更长时间内维持中断，从而可能耗尽目标的资源并导致停机时间延长。持续的攻击会给公司网络造成巨大压力，导致速度变慢、服务中断和负面的客户体验。攻击者的目标通常是削弱防御，迫使目标进入持续缓解或恢复状态。为了防御此类攻击，组织需要专注于应对长时间高流量的弹性策略。这包括使用速率限制来管理传入请求，部署流量分析工具来识别和阻止恶意模式，以及与专门用于缓解长时间攻击的 DDoS 防护服务合作。此外，设置警报系统并确保适当的带宽扩展有助于防止攻击压垮网络基础设施。

攻击 #3：一家美国饮料公司

最近的一次攻击，也是迄今为止规模最大的一次，发生在1月25日，目标是美国一家大型饮料公司。这次攻击尤其引人注目，在短短8分钟内，请求量就达到了惊人的1350万次/秒（RPS）。

此次攻击尤其引人注目的是，在如此短的时间内，RPS 的强度之高。攻击从 7,640 个独立 IP 地址发起，数量之多，不仅体现了攻击者在极短时间内生成海量流量的效率。这代表了 DDoS 攻击的复杂程度达到了一个新的高度，其重点不仅在于请求的数量，还在于它们能够以多快的速度释放，从而最大限度地造成破坏。快速的请求和大规模僵尸网络的参与，有力地表明了这些破坏力日益增强的 DDoS 攻击活动背后的策略正在不断演变。

在短时间内达到巨大 RPS 水平的攻击通常旨在造成快速且压倒性的破坏。这些高强度攻击通常由更复杂的僵尸网络执行，利用大量受感染的设备在短时间内产生极高的流量。其目标是使目标基础设施承受巨大的负载，导致系统立即宕机、服务中断，甚至完全瘫痪。这些快速移动的攻击尤其危险，因为它们的速度使其更难在造成重大损害之前被发现和缓解。在许多情况下，攻击者使用这种方法绕过依赖于检测长期恶意活动模式的传统防御机制，使组织措手不及。防御这些快速爆发的大规模 RPS 攻击需要采取主动措施，例如使用能够处理流量快速激增的高级 DDoS 防护服务，并采用实时流量监控来快速识别可疑行为。此外，确保基础设施配备足够的冗余和容量来吸收突发流量高峰，有助于减少此类攻击的影响。

为什么这很重要

虽然这些攻击本身意义重大，但发现IP地址重叠更令人担忧，因为这指向一个实力雄厚、组织严密的攻击者。平均而言，20%的IP地址（总计1670个）在这三起攻击中是共同的。超过一半的IP地址具有高风险评分，这表明它们频繁参与了严重的攻击。虽然我们目前还无法将此活动归咎于攻击者或僵尸网络，但值得注意的是，这些攻击具有持续性，并且每天都会发起多次DDoS攻击，目标是许多行业和国家的站点。

这些攻击清楚地表明，DDoS 威胁正变得越来越频繁和严重。虽然限速、IP 阻止和带宽超配等传统缓解策略可以帮助抵御小规模攻击，但这些大规模攻击需要更高级的防护。依赖自适应防护、流量分析和威胁情报的解决方案对于实时缓解这些大规模攻击至关重要。

这些事件也凸显了企业采用分层安全方法的重要性。面对当今不断演变的DDoS形势，依赖单一的安全解决方案可能远远不够。企业必须部署多方面的防御策略，包括机器人程序缓解、应用程序防火墙和实时监控，才能始终领先于攻击者。

为未来的 DDoS 威胁做好准备

随着 DDoS 攻击的规模和复杂性不断增长，企业必须采取主动措施来保护其网络和应用程序。以下是一些值得考虑的关键策略：

• 部署 DDoS 保护工具：考虑投资使用人工智能和机器学习来实时检测和缓解大规模攻击的 DDoS 缓解服务。
  • DDoS Protection利用机器学习和 AI 算法在发生 DDoS 攻击时更准确地适应和检测，并使用 AI/ML 算法调整安全策略。
• 监控和分析流量：使用流量分析尽早发现异常和潜在威胁。这将使您的安全团队能够在攻击升级之前迅速采取行动。
  • Attack Analytics在整个应用程序安全堆栈中应用机器学习和领域专业知识来揭示噪声中的模式并确定调查的优先级。
• 创建事件响应计划：制定应对 DDoS 攻击的综合计划，确保您的团队知道如何在攻击期间迅速有效地采取行动。

结论

随着 DDoS 攻击的频率和规模不断增加，企业需要保持警惕，并投资于强大的防御措施，以抵御不断演变的威胁。2025 年迄今为止我们所见证的攻击仅仅是个开始，我们可以预见未来几个月将会出现更多大规模攻击。通过做好准备并利用最新的 DDoS 缓解技术，企业可以更好地保护其关键服务并维护客户的信任。

请继续关注我们的博客以获取更多见解，并阅读我们的每周威胁情报报告以了解网络安全的最新趋势。