2025年公安部“净网”“护网”专项工作部署会召开

会议要求，要坚持以打开路，进一步构筑“净网”工作新格局。要加大打的力度，紧盯人民群众反映强烈的各类网络乱象，持续依法严打侵犯公民个人信息、网络谣言、黑客犯罪、网络水军、网络黑灰产、网络暴力等突出网络违法犯罪，对重大典型案件要挂牌督办，确保打击质效。要提升打的能力，健全完善“专业+机制+大数据”新型警务运行模式，为高效开展网络线索核查、案件侦办等工作提供有力支撑。要形成打的合力，充分发挥国家网络与信息安全信息通报机制作用，强力推进网络空间安全综合治理，压实互联网企业主体责任，筑牢网络安全防线。

会议要求，要坚持打管衔接，进一步健全“护网”综合治理新体系。要全力保护网络安全，加强关键信息基础设施保护、重要系统安全检测。要全力保护数据安全，加强数据安全问题集中整治、重点行业监督检查，及时整改问题、堵塞漏洞。要全力保护信息安全，加强互联网平台安全监管、人工智能平台安全监管和网络信息内容的全链条监管。

史上最大规模DDoS攻击：45秒内峰值达7.3Tbps，总流量37.4TB

Cloudflare近日披露，其系统在2025年5月中旬自动拦截了有记录以来规模最大的分布式拒绝服务（DDoS）攻击，攻击峰值达到每秒7.3太比特（Tbps），在短短45秒内就产生了37.4TB的恶意流量。

这次史无前例的网络攻击针对使用Cloudflare Magic Transit服务的主机提供商客户，攻击规模较此前纪录高出12%，显示出当代DDoS攻击在规模和复杂度上的持续升级。

多向量DDoS攻击剖析

本次大规模攻击采用了多向量组合策略，其中99.996%的攻击流量为UDP洪水攻击，针对单个IP地址平均攻击21,925个目标端口，峰值时每秒攻击34,517个端口。

剩余0.004%的流量采用了精密的反射放大技术，包括：

• 利用UDP 17端口的Quote of the Day（QOTD）协议
• 针对UDP/TCP 7端口的Echo协议攻击
• 使用monlist命令的NTP（网络时间协议）放大攻击

其他攻击向量还包括：

• Mirai僵尸网络发起的UDP洪水攻击
• 针对UDP 111端口的Portmap服务利用
• 针对UDP 520端口的路由信息协议版本1（RIPv1）攻击

攻击源呈现显著的地理分布特征，共涉及122,145个独立IP地址，跨越161个国家的5,433个自治系统（AS）。巴西和越南是主要攻击来源国，各贡献约25%的总流量；中国台湾、印度尼西亚、乌克兰、厄瓜多尔、泰国、美国和沙特阿拉伯合计贡献了另外三分之一的恶意流量。

Telefonica Brazil（AS27699）是参与攻击的最大网络，贡献了10.5%的攻击流量；Viettel集团（AS7552）紧随其后，贡献了9.8%。

自主检测与缓解技术

根据报告，Cloudflare的防御系统采用基于Linux内核的eXpress数据路径（XDP）和扩展伯克利包过滤器（eBPF）程序的高级数据包采样技术，实现流量模式实时分析。

该公司的启发式引擎"dosd"（拒绝服务守护进程）自动生成多种指纹排列组合来识别攻击模式，同时将对正常流量的影响降至最低。

通过任播路由技术，攻击在Cloudflare位于全球293个地点的477个数据中心被检测和缓解，攻击流量被分散到整个网络基础设施中。每个数据中心都维护着通过gossip协议更新的本地威胁情报缓存，确保新出现的攻击特征能在亚秒级时间内传遍整个网络。

这套集成的自主防御框架实现了对7.3Tbps攻击的零接触缓解，在45秒的攻击持续时间内完全遏制了事件，甚至没有触发事件响应协议。整个缓解过程完全自主完成，无需人工干预、未产生告警或服务事故，充分展示了现代云端DDoS防护系统在抵御日益复杂的网络威胁方面的有效性。

关联恶意软件活动

此次披露恰逢奇安信XLab团队报告称，追踪为RapperBot的僵尸网络在2025年2月对人工智能公司DeepSeek发动攻击。该恶意软件最新变种试图勒索受害者支付"保护费"以避免未来遭受DDoS攻击。感染设备主要分布在中国、美国、以色列等10个国家。

RapperBot攻击链特点：

• 利用默认弱密码或固件漏洞入侵路由器、网络存储设备和录像机
• 通过DNS TXT记录与C2服务器通信获取攻击指令
• 采用自定义加密算法保护通信内容
• 自2025年3月起日均攻击目标超100个，活跃僵尸节点超5万个
• 攻击范围涵盖公共管理、社会保障、互联网平台等多个领域