安全公司Qrator Labs在9月1日侦测并成功缓解了一场迄今为止观测到最大规模的应用层L7 DDoS攻击，攻击目标为政府机构，参与来源累计达576万个IP。这场攻击采用两阶段调度，首先投入约280万个IP，约1小时后再次增加约300万个IP，显示出攻击者具备成熟的指挥与扩展能力，能够在短时间内提升攻击强度与覆盖范围。

该僵尸网络在半年内已发动三次攻击，并且规模持续扩大，受害对象从在线服务延伸至政府部门。研究人员指出，今年3月26日，该僵尸网络首次现身，锁定在线博彩企业，当时约有133万个IP参与；5月16日，再度攻击政府部门，规模已扩大至约460万个IP；9月1日第三次针对政府部门发起攻击，此次累计动员576万个唯一IP。

9月这场应用层L7 DDoS攻击的地理分布显示，恶意IP主要集中于巴西、越南、美国、印度与阿根廷。与前两次相比，越南与印度的参与IP数量增长幅度明显，分别增加83%与202%，显示该僵尸网络在不同区域的渗透速度不一致，且可能同时动员住宅网络、数据中心与开放代理等多种类型的节点。

L7攻击的破坏力并非以Tbps或封包数量来衡量，而是以每秒请求次数与应用端资源消耗为主。当大量请求模仿真实用户行为路径并跨越多个URI时，常见的缓存机制与基于固定规则的WAF（网页应用防火墙）容易失效，瓶颈会落在前端连接维持、TLS终止、应用线程与数据库连接池。

Qrator Labs技术总监Andrey Leskin表示，这类僵尸网络在未受保护或防护较弱的环境中，可在短时间内产生每秒数千万次请求，导致服务器在数分钟内失去可用性。并非所有供应商都具备能力应对同时面向多个客户的大规模L7洪水攻击。

这类应用层请求洪水只是DDoS攻击的一种形态，近期在网络层也出现了极端案例。9月初，Cloudflare曾公开自动拦截了一场高达11.5 Tbps的UDP洪水攻击，封包速率一度达到5.1 Bpps。与L7攻击相比，这类L3/L4层带宽型攻击并非模仿真实用户行为，而是通过庞大的流量规模压垮网络与设备。