NETSCOUT揭示DDoS攻击在复杂程度、基础设施容量和威胁主体能力方面的质变

NETSCOUT®SYSTEMS, INC. (NASDAQ: NTCT)今日发布《2025年下半年分布式拒绝服务(DDoS)威胁情报报告》。报告揭示，攻击者的精密协作、高韧性僵尸网络和被入侵的物联网基础设施在全球范围内引发超过800万次DDoS攻击，部分攻击流量高达每秒30太比特(Tbps)，标志着超大规模、协同式威胁活动进入新时代，持续超越全球打击行动的步伐。与此同时，DDoS雇佣攻击服务加速增长，让更多类型的威胁主体具备攻击能力，加剧了数字化连接组织和企业的运营风险。

对安全专业人员而言，其影响远不止流量规模问题，还包括侦察攻击和自适应规避行为，这些都对传统防御模式构成挑战。组织必须以智能、自主化防御应对攻击者的创新，否则将面临以往仅存在理论可能的大规模业务中断风险。

NETSCOUT威胁情报总监Richard Hummel表示：“威胁主体会锁定那些未投入合适防御、无法抵御精密协同DDoS攻击的组织，以瘫痪其关键基础设施。传统安全防御已不再有效，随着攻击者不断突破攻击规模和复杂度上限，部署自动化和主动式防御已成为业务层面的风险应对要务，而不仅是安全人员的技术问题。”

主要研究发现包括：

全球范围内大规模攻击——在全球203个国家和地区监测到超过800万次攻击。

多向量攻击的持续使用——约42%的DDoS攻击采用2至5种不同攻击向量，其中一些在整个攻击过程中会动态调整，加大检测和缓解难度。

外发攻击影响宽带和移动服务——大量直连路径攻击显示，被入侵的物联网和用户终端设备可产生超过每秒1 Tbps的外发流量，给宽带和移动运营商带来责任、服务和声誉风险。

关键基础设施成为目标——NTP和DNS等高价值服务持续面临高强度攻击压力，凸显需要高韧性的全球分布式架构以维持服务连续性。

威胁主体加大协作力度——2025年7月僵尸网络驱动攻击激增逾2万次，体现协同式威胁活动可迅速压垮防御，中断关键的政府、金融和交通服务。

威胁主体持续活跃——尽管国际执法部门取缔多个DDoS雇佣攻击平台，但黑客行动主义组织和僵尸网络仍保持韧性，不断加大施压。

AI集成加速攻击运作和协作——AI已成为实际运作工具，暗网中的大语言模型(LLM)正在加速漏洞利用和僵尸网络扩张，地下论坛中恶意AI工具提及量增长219%。Keymous+等组织证明，威胁主体间的合作可放大攻击威力，使攻击带宽提升近四倍。

NETSCOUT通过被动式互联网监测点绘制DDoS态势图，提供对于全球攻击趋势无与伦比的可见性。超过15年来，NETSCOUT始终完全基于直接观测、可验证的攻击流量，提供可信、一致的DDoS情报。NETSCOUT不会将多条告警或地理分散事件合并为复合峰值，确保报告期内数据准确、可复现且具备真实可比性。峰值指标为在指定缓解和监测点测得的每秒比特数(bps)和每秒数据包数(pps)的单秒最大值。

NETSCOUT保护着三分之二的IPv4路由空间，在2025年下半年保障了承载超过800 Tbps全球峰值流量的网络边缘的安全，覆盖376个行业垂直领域和12,698个自治系统号(ASN)。它通过追踪多个利用数百万台被滥用或遭入侵设备的僵尸网络及DDoS雇佣攻击服务，每日监测数万次DDoS攻击。

审核编辑 黄宇