每秒20.5万次请求,放在传统DDoS攻击里连入门门槛都够不上。但正是这个"低调"的数字,让一家AIGC平台在5小时内承受了24.5亿次恶意请求——而它的防护系统全程没有报警。

网络安全厂商DataDome旗下Galileo团队今年4月拦截了这起攻击。僵尸网络横跨16,402个自主系统,涉及约120万个独立IP。研究人员称其为迄今观测到结构最复杂的DDoS基础设施之一。

打开网易新闻 查看精彩图片

攻击者的策略很克制:每个IP平均每9秒才发一次请求,远低于多数安全系统的流量阈值。流量呈现周期性波动,中间穿插短暂停顿——不是为了休息,而是让防护系统的限速计数器重置,防御系统误以为流量已恢复正常。这为攻击者轮换IP争取了时间。

基础设施来源同样分散。流量来自亚马逊AWS、谷歌云、DigitalOcean、Cloudflare等主流云服务平台,也包含大量匿名化"肉鸡"。攻击者还伪造HTTP Headers、Cookies、URL参数及浏览器指纹,模拟正常浏览器访问行为。

这种"慢动作"攻击正在取代传统的"暴力式"冲击。过去黑客追求短时间内超高流量直接压垮服务器;如今他们模仿真实用户行为,绕过基于IP与流量阈值的传统防御机制。DataDome认为,这反映出DDoS攻击思路的明确演进:隐蔽性优先于破坏力,持久渗透取代一击致命。

对安全团队而言,这意味着防护逻辑需要调整。当攻击流量看起来越来越像正常用户,单纯依靠流量阈值和IP黑名单的防御体系将面临失效风险。