CONTENTS关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易 所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支 机构， 为政 府、 运营商、 金融、 能源、 互联网以及教育、 医疗等行业用户， 提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。 公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入 开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程 等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权 法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式 复制或引用本文的任何片断。关于伏影实验室 专注于安全威胁监测与对抗技术的研究，涵盖 APT 高级威胁、 Botnet、DDoS 对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产 等新兴领域。 研究目标是掌握现有网络威胁，识别并追踪新型威胁，精准溯源与 反制威胁，降低风险影响，为威胁对抗提供有力决策支持。 采用前沿技术探索与实战对抗相结合的研究模式，协助国家单位破 获 APT 攻击案件数起，全球率先发现 8 个新型 APT 攻击组织，处置 40 多起涉我 APT 攻击事件，为国家重大网络安保做出突出贡献。01 专家观点 1 1.1 DDoS 逐步演变为政治诉求的重要载体 2 1.2 攻击手段呈现 “传统主导、新型涌现、复合升级” 的特征 2 1.3“热点事件驱动型”DDoS 攻击成为主流 3 1.4 高价值收益与地缘政治进一步促进 DDoS 攻击“专业化”与“商业化” 4 02 DDoS 攻击趋势特征 5 2.1 攻击强度 6 2.2 攻击手段 7 2.3 攻击目标 10 2.4 攻击时长 13 03 攻击资源 14 3.1 攻击源分布受数字化发展程度与治理环境影响 15 3.2 C2 分布受技术、成本与政策共同影响 17 04 攻击组织 17 4.1 DDoS 攻击组织 18 4.2 僵尸网络 27 05 全年攻击大事件 30 5.1 XorDDoS 僵尸网络持续对我国实施 DDoS 攻击 31 5.2 从奥运会到 TG 创始人被捕 ：法国深陷 DDoS 漩涡 32 5.3 电子选战 ：2024 美国大选背后的 DDoS 攻击阴霾 33 5.4 DeepSeek 崛起背后的暗流 ：全球 AI 技术 博弈下的DDoS 攻击 35 专家观点012 3 DDoS 攻击威胁报告 专家观点1.1 DDoS 逐步演变为政治诉求的重要载体 2024年的DDoS攻击大事件表明，DDoS攻击越来越多地被用作表达政治诉求的重要工 具。攻击者通过DDoS攻击，能够在短时间内对目标网站造成巨大流量冲击，迫使其瘫痪， 从而达到扩大事件影响力、传递政治信息的目的。 例如，在8月Telegram创始人帕维尔·杜洛夫（Pavel Durov）于巴黎被捕的事件中， 多个黑客组织迅速行动，通过DDoS攻击司法类网站来表达抗议。这些攻击成功吸引了全 球媒体的关注，进一步放大了事件的社会影响。黑客组织通过这种方式，进一步吸引了全 球关注，凸显了 DDoS 攻击在政治抗议中的重要作用。 同样，在美国大选期间，DDoS攻击也被频繁用于政治斗争。在多个关键时间节点，都 遭遇了具有明显政治意图的DDoS攻击，如唐纳德·特朗普遇刺事件和总统辩论等重要时刻。 攻击者通过攻击竞选网站、新闻媒体和社交媒体平台，试图干扰选举进程，影响公众舆论， 甚至动摇选民信心。这些攻击不仅展示了DDoS技术的破坏力，还揭示了其在现代政治斗 争中的战略价值。 这些事件充分表明，DDoS攻击已不再仅仅是技术层面的威胁，而是演变为一种集技术 性、社会性和政治性于一体的复杂工具。未来，随着网络技术的进一步发展，DDoS攻击的 影响范围和应用场景很可能会继续扩展，成为全球政治斗争中不可忽视的一部分。因此，各 国政府、 企业和网络安全机构必须高度重视DDoS攻击的威胁， 加强技术防御和法律法规建设， 以应对这一日益复杂的安全挑战。 1.2 攻击手段呈现“传统主导、新型涌现、复合升级”的特征 2024年，DDoS攻击仍然以传统手段为主导，例如，网络层/传输层以UDP Flood为主， 应用层以HTTPS攻击为主，这些经典攻击手段因其高效性和易实施性而经久不衰。与此同时， 随着技术的演进，新兴攻击手段也不断出现。例如，循环攻击、GTP反射放大攻击。这种攻 击手段的出现，进一步凸显了协议安全的重要性以及攻击者对漏洞挖掘的深度。此外，攻击者的策略正变得日趋复杂化和多样化。他们不再满足于单一的攻击手段，而 是倾向于采用复合型攻击，通过多种手段的组合来最大化攻击效果，此类复合攻击在2024 年占比达到11.49%。例如，将网络层/传输层攻击（如UDP Flood）与应用层攻击（如 HTTP Flood）相结合，或协同使用僵尸网络攻击和反射放大攻击，以形成多层次、多维度的 攻击浪潮。这表明攻击者不仅具有控制僵尸网络的能力，还具有控制反射器的能力，反映出 DDoS攻击正在向更复杂、 更隐蔽、 更高效的方向发展， 攻击者不断探索新的技术手段和策略， 以突破现有的防御体系。 1.3 “热点事件驱动型”DDoS 攻击成为主流 2024年，DDoS攻击的监测数据显示，无论攻击者的动机是政治诉求、经济利益，还是 其他目的， DDoS攻击始终与现实世界的热点事件紧密相连， 呈现出显著的 “热点事件驱动型” 攻击特点。这种趋势揭示了DDoS攻击作为一种低成本、高影响力的网络武器，在现实冲突 中的广泛应用。 从法国立法选举到Telegram创始人被捕， 再到巴黎奥运会以及备受期待的 《黑神话：悟空》 游戏发行，每一次重大事件都成为DDoS攻击的“催化剂”。例如，在法国立法选举期间， 多个政府网站和新闻媒体平台遭到大规模DDoS攻击，试图干扰选举信息的传播；而在《黑 神话：悟空》发行当天，游戏服务器因DDoS攻击而瘫痪，导致大量玩家无法正常登录，严 重影响了用户体验。 在美国大选期间，DDoS攻击的频率和强度更是达到了新的高峰。从特朗普第一次遇刺 到选战进入白热化阶段的多个重要时刻，DDoS攻击都频繁出现。攻击目标不仅包括竞选团 队的官方网站，还涉及主流媒体和社交媒体平台，试图通过阻断信息传播来影响公众舆论。 此外，在巴西G20里约热内卢会议期间，该国遭遇了2024年最猛烈的DDoS攻击之一， 有超过 200 万个 IP 地址均遭受攻击。 这一系列事件无不印证了“热点事件驱动型”DDoS攻击的日益流行。攻击者通过利用 社会热点事件的高关注度和影响力， 将DDoS攻击作为一种低成本的手段， 既能迅速达成目标， 又能制造广泛的社会影响。