Cloudflare宣布：史上最强 DDOS 被阻断

图片

Cloudflare 于本周二对外宣布，其系统已自动缓解一起规模创纪录的容量型分布式拒绝服务（DDoS）攻击，攻击峰值流量高达 11.5 太比特每秒（Tbps）。该公司在 X 平台（原 Twitter）的公告中进一步披露：“过去几周内，我们自主拦截了数百起超大容量 DDoS 攻击，其中规模最大的两起峰值分别达到 51 亿数据包每秒（Bpps）和 11.5 Tbps。此次 11.5 Tbps 的攻击属于 UDP 洪泛攻击，攻击流量主要源自谷歌云（Google Cloud）平台。”

尽管攻击强度惊人，但整个攻击过程仅持续约 35 秒。Cloudflare 表示，近期其防御系统一直处于高负荷运转状态，以应对此类高频次、大流量的网络威胁。

01 技术解读：容量型 DDoS 攻击的危害与本质

容量型 DDoS 攻击的核心目的，是通过 “流量海啸” 淹没目标网络或服务器，导致其处理能力耗尽，最终引发服务变慢、卡顿甚至完全瘫痪。这类攻击通常会造成网络拥堵、数据包丢失等问题，直接影响用户对服务的正常访问。

从技术原理来看，攻击者实施此类攻击的关键工具是 “僵尸网络”（Botnet）—— 即通过恶意软件感染大量设备（包括个人电脑、物联网设备等），并远程控制这些 “傀儡设备” 向目标发起协同攻击。正如 Akamai 在一份技术说明中指出的：“容量型攻击的直接影响是造成网络拥堵，破坏用户与互联网、服务器及相关协议的连接性能，甚至引发服务中断。更危险的是，攻击者可能将容量型攻击作为‘烟幕弹’，掩护更复杂的渗透行为 —— 当安全团队全力应对流量攻击时，攻击者可能同步发起多向量攻击，秘密突破网络防御，窃取数据、转移资金、入侵高价值账户或实施进一步破坏。”

02 攻击背景：DDoS 攻击呈 “量级激增” 趋势

此次 11.5 Tbps 攻击并非孤立事件，而是近期 DDoS 攻击 “量级爆发” 的缩影。回溯历史数据：

- 2025 年 5 月中旬，Cloudflare 曾拦截一起峰值达 7.3 Tbps 的 DDoS 攻击，当时攻击目标为某匿名托管服务商；

- 2025 年 7 月，该公司发布报告称，2025 年第二季度超大容量 DDoS 攻击（即三层 / 四层 DDoS 攻击中，流量超过 10 亿数据包每秒或 1 Tbps 的攻击）数量激增至 6500 起，较第一季度的 700 起增长近 9 倍，创下历史新高。

就在 Cloudflare 披露创纪录攻击的同时，网络安全公司 Bitsight 详细拆解了 RapperBot 僵尸网络的攻击流程。该僵尸网络专门针对网络视频录像机（NVR）及其他物联网设备，通过感染设备组建攻击集群，进而发起 DDoS 攻击。值得注意的是，这一僵尸网络的基础设施已于上月被执法部门联合捣毁。

Bitsight 研究显示，RapperBot 的攻击链具有高度针对性，具体步骤如下：

1. 漏洞利用与初始访问攻击者利用 NVR 设备的安全漏洞（尤其是网页服务器中的路径遍历漏洞），窃取管理员的有效凭证；
2. 植入恶意固件通过窃取的凭证推送伪造固件更新，在设备中执行一系列 bash 命令；
3. 远程挂载与 payload 加载命令会触发设备挂载远程 NFS 文件系统（服务器地址为 104.194.9.127），并根据设备的系统架构下载、执行 RapperBot 恶意程序。

图片

网络安全研究员 Pedro Umbelino 分析指出：“攻击者选择通过 NFS 挂载执行恶意程序，实则是针对 NVR 固件功能受限的‘巧妙设计’— 这类设备的系统资源和功能极为有限，而 NFS 挂载能绕开诸多限制。这表明攻击者对目标设备的品牌、型号进行了深入研究，专门设计了适配性极强的攻击方案。”

后续恶意行为方面，RapperBot 会通过以下方式维持控制与扩散：

• 获取 C2 服务器地址 读取预设域名（如 iranistrash.libre、pool.rentcheapcars.sbs）的 DNS TXT 记录，从中提取实际的命令与控制（C2）服务器 IP；
• 动态生成 C2 域名 利用简化的域名生成算法（DGA），结合 4 个基础域名、4 个子域名和 2 个顶级域名（TLD），生成 C2 服务器的完整域名（FQDN），并通过预设 DNS 服务器解析；
• 建立加密通信与攻击指令执行 与包含有效 DNS TXT 记录的 C2 域名建立加密连接，接收发起 DDoS 攻击的指令；同时，恶意程序还会扫描互联网中的开放端口，以进一步扩大感染范围。

Bitsight 总结称：“RapperBot 的攻击逻辑十分明确：扫描互联网中的老旧边缘设备（如 DVR、路由器），通过暴力破解或漏洞利用感染设备并植入恶意程序。该僵尸网络无需依赖持久化机制，而是通过‘持续扫描、反复感染’的模式维持规模 —— 究其原因，是互联网中暴露的易受攻击设备数量庞大，且定位难度极低。”