五小时内,24.5亿次恶意请求涌向一家大型用户生成内容平台。这不是传统的暴力洪水,而是一场精心编排的"慢动作"围攻——攻击者动用了120万个独立IP地址,每个源头平均9秒才发送一次请求。
这种分布式结构直接戳中了传统速率限制防御的死穴。当单个IP的请求频率被压到极低水平时,没有任何一个节点在孤立状态下显得可疑。但聚合效应却是毁灭性的:攻击峰值达到每秒20.5万次请求,平均维持13.6万RPS的持续性压力。
流量分析揭示了一个明显的波浪模式,而非恒定洪流。人类操作者或其自动化编排层主动循环调整攻击强度,测试哪些请求模式能够穿透缓解措施。这些战术性暂停让聚合速率计数器得以重置;短暂的平静期间,攻击者轮换IP、更换用户代理、调整返回载荷,在不触发结构性警报的前提下维持攻势。
这场攻击的基础设施呈现出惊人的碎片化程度:横跨16,402个自治系统(ASN)。分布极为扁平——贡献最大的ASN仅占总攻击流量的3%。这种扁平结构本身就是一种规避签名,确保封锁任何一个ASN都不会对整体行动造成实质性损伤。
威胁行为者刻意将隐私导向的基础设施与合法云服务商混用。1337 Services GmbH、Church of Cyberology等匿名友好型ASN,与Cloudflare、AWS、Google等主流云厂商并行出现。通过大型云提供商路由流量,恶意请求轻松混入了海量的合法云出口流量中。
DataDome的Galileo威胁研究团队通过多层行为检测的组合,实时识别并拦截了这次攻击。然而攻击者的规避技术仅处于中等 sophistication 水平:虽然伪造了请求头、Cookie和URL参数,但缺乏高级浏览器自动化或JavaScript伪造能力。其客户端浏览器识别信号在单个会话内持续漂移,暴露出自动化工具无法维持一致身份的典型特征。
热门跟贴