Cloudflare 2026年威胁报告:DDoS峰值31.4 Tbps攻击者转向登录入侵
2026年3月3日,全球领先的网络连接云服务商 Cloudflare 发布了旗下威胁情报团队 Cloudforce One 首份年度综合性安全报告——《2026 Cloudflare 威胁情报报告》。该报告基于对全球约20%网络流量的监测分析,以及来自超过230亿次日均拦截事件的遥测数据,揭示了当前全球网络威胁格局的根本性转变。
报告的核心判断清晰而严峻:网络威胁的"工业化"时代已全面到来。 攻击者不再主要依赖零日漏洞暴力突破,而是更多借助人工智能工具、窃取凭据和合法云平台渗透目标,以更低成本实现更大规模破坏。
核心数据一览
| 指标 | 数值 | 来源 |
|---|---|---|
| 2025年全年DDoS攻击次数 | 4710万次(同比+121%) | Cloudflare 2025 Q4报告 |
| 2025年全年DDoS新纪录 | 19项世界纪录 | Cloudforce One |
| 史上最大单次DDoS攻击峰值 | 31.4 Tbps(Aisuru僵尸网络,2025年11月) | Cloudflare Q4报告 |
| 每日平均拦截威胁次数 | 2300亿次 | 2026年威胁报告 |
| 登录尝试中机器人占比 | 94% | Cloudforce One遥测 |
| 涉及已泄露凭据的登录占比 | 63% | Cloudforce One遥测 |
| 邮件未通过DMARC验证比例 | 46% | Cloudforce One遥测 |
| Aisuru/Kimwolf僵尸网络规模 | 估计100万至400万台受感染设备 | Cloudforce One |
深度分析
一、DDoS攻击:规模已超越人类响应极限
2025年全年,Cloudflare共记录4710万次DDoS攻击,相当于平均每小时5376次,即每秒约1.5次攻击。这一数字与2024年相比增长超过121%,且仍在加速。
最引人注意的是攻击体量的跃升。2025年11月,由Aisuru僵尸网络发动的UDP洪泛攻击达到31.4 Tbps,是2024年最大攻击的近6倍,攻击全程仅持续35秒。正是这种超短、超强的爆发特性使得传统依赖人工判断的应急响应机制几乎无法介入:攻击开始到结束的时间窗口,远远短于安全团队识别、上报、决策和执行缓解措施所需的时间。
Cloudflare CTO John Graham-Cumming表示:"针对2022年威胁模型构建的防御体系,正在2026年的威胁格局面前显得严重过时。"
报告同时指出,2025年全年超大体量(单次峰值超1 Tbps)的超高速攻击同比增长65倍,单季度记录6500余次,平均每天71次。攻击者已将大规模DDoS工具武器化,规模和频率均超越了人工防守的能力边界。
二、凭据利用:MFA已被系统性绕过
报告揭示的另一个关键转变是攻击者如何进入系统。与以往"破门而入"相比,2026年主流攻击手法是**"合法登录"**:
- 94% 的登录尝试来自机器人程序或自动化工具;
- 63% 的登录尝试使用的是已在暗网上流通的被盗凭据;
- 信息窃取型恶意软件(如 LummaC2)直接从受害端点提取实时会话Token,让攻击者在无需获知密码、也无需触发多因素认证(MFA)的情况下直接接管已认证会话。
这意味着:传统密码+MFA的防护组合,在信息窃取软件面前已被系统性瓦解。Verizon 2025年《数据泄露调查报告》数据显示,2025年54%的勒索软件攻击均可追溯到信息窃取类恶意软件所实现的凭据盗取。
三、AI驱动攻击:技术门槛消失,攻击规模倍增
生成式AI正在从根本上改变网络攻击的规模与性质。Cloudforce One追踪到的威胁行为者已将大语言模型(LLM)用于:
- 实时网络拓扑映射与高价值数据定位;
- 自动开发漏洞利用代码;
- 生成高度逼真的深度伪造(Deepfake)视频,用于绕过企业招聘身份验证,将恶意内部人员植入目标公司薪资体系。
报告记录了与朝鲜关联的威胁组织 PatheticSlug 借助AI生成的虚假简历和美国境内"笔记本电脑农场"入职西方企业,并将所得资金用于资助武器项目的完整案例链。
四、合法云平台成为攻击基础设施
报告特别指出"依附合法服务(Living off the Land / LotX)"策略的盛行:攻击者将 Google Drive、Dropbox、GitHub、Microsoft Teams、Amazon S3 等主流云平台作为指挥控制(C2)流量的掩护。通过这些高信誉平台路由恶意流量,可以使攻击行为与正常企业流量在网络层面无从区分,使传统IP信誉过滤形同虚设。
影响与应对建议
Cloudflare报告联合CrowdStrike等机构数据,提出了四项应对新威胁格局的优先行动:
- 立即审计SaaS集成权限:识别并收回超出实际需要的OAuth授权和API密钥访问权限;
- 升级会话安全机制:不能仅限于令牌签发,需在整个认证会话期间持续验证设备状态和行为模式;
- 实现DDoS防护的全自动化:鉴于攻击时间窗口极短,人工介入已不现实,必须部署具备预置容量的自主缓解架构;
- 邮件安全配置深度审查:不能只关注边界DMARC执行,需彻底审查整个邮件中继信任链。
对于依赖云服务器和专用服务器运营关键业务的企业来说,2026年最大的风险来源已不仅是流量洪泛,而是身份盗用与基础设施滥用的复合攻击。
SellBGP 观察: Cloudflare报告印证了一个现实:当DDoS攻击峰值达到31.4 Tbps且持续时间不足一分钟时,任何依赖人工判断的防护流程都已跟不上攻击节奏。SellBGP 的 BGP 高防服务器内置全自动流量清洗与智能路由切换机制,基于 anycast 架构将攻击流量就近引入清洗节点,可在秒级完成对超百G体量攻击的缓解响应——这正是新一代高防方案与传统防护架构的核心差距所在。面对2026年已工业化的网络攻击,提前部署是唯一有效策略。