CloudFlare揭露一起主要由行動裝置發動、攻擊流量高達45億次的DDoS攻擊，在大約8個小時的攻擊行動中，總計有65萬個裝置攻擊特定網站，期間HTTP請求量的高峰值高達每秒27萬5千個，而攻擊流量主要來自中國的手機。

你我人手一支的智慧型手機，在讓我們生活便利之餘，未來也可能在毫不知之情下被駭客偷偷挾持，發動大規模DDoS阻斷式攻擊，成為驚人的攻擊武器。在香港真普選行動中挺身力抗中國DDoS攻擊的CloudFlare，最近就證實了以手機發動超大規模DDoS洪水攻擊的可能性。

CloudFlare的Marek Majkowski日前在官方部落格揭露一起主要由行動裝置發動、攻擊流量高達45億次的DDoS攻擊。這次攻擊事件針對CloudFlare所代管的客戶網站，在大約8個小時的攻擊行動中，總計有65萬個裝置對網頁提出45億次連線的請求量，期間HTTP請求量的高峰值高達每秒27萬5千個，這些攻擊流量主要來自中國的手機。

CloudFlare的調查發現，這些攻擊的連線都是由瀏覽器送出，並非由其他程式產生，所以會被視為合法行為。而瀏覽器發出的連線請求則由Ajax（XHR, XMLHttpRequest）來控制，使瀏覽器針對特定網站持續發送連線請求。

Marek Majkowski表示，過去已經有不少針對發動網路第7層洪水攻擊的探討，理論上是可行，卻未見實際的攻擊，主要是因為設計JavaScript攻擊程式並不難，而困難的是如何有效率散播惡意的JavaScript程式，以感染大量的瀏覽器，針對特定的網站發動攻擊。

CloudFlare推測，攻擊者應該是利用網路廣告聯播網絡來散播感染，受害者應該是被網路廣告導引到內含惡意JavaScript程式的網頁，可能是在以行動瀏覽器瀏覽網頁廣告時，或是使用行動App時，App以iFrame內嵌了網頁廣告。

根據CloudFlare分析，98.2％的攻擊流量皆來自中國，其中72％的攻擊來自手機、23％來自桌機、5％來自平板電腦，也就是說，這次攻擊動員了將近46萬支手機；而攻擊端的瀏覽器也印證這波攻擊是發自中國，其中包括不少中國的瀏覽器，如QQ瀏覽器（QQBrowser）、2345瀏覽器（2345Explorer）、UC瀏覽器（UCBrowser）、搜狗瀏覽器（MetaSr）等。

Marek Majkowski表示，挾持手機發動DDoS攻擊有可能成為趨勢。在人手一支手機的時代，而且多數手機皆處於連網的情況下，這樣的局勢將使得DDoS攻擊變得更為棘手，尤其對於缺乏抵禦能力的中小型網站而言更是頭痛的大問題。