背景图片来源于 sumanley on pixabay

安全公司DataDome发现，近期黑客发动的分布式拒绝服务（DDoS）攻击手法出现演变，已从短时高强度流量攻击转向缓慢而隐蔽的长期攻击模式。

DataDome的Galileo团队在2026年4月成功缓解了一起针对某用户生成内容平台客户的机器人DDoS流量攻击。攻击持续5小时，共发出245亿次请求，但始终未触发传统防护方案的流量阈值机制。

此次攻击所动用的僵尸网络覆盖16,402个自治系统（Autonomous System，AS），涉及120万个不重复IP地址，是DataDome迄今观测到最复杂的DDoS基础设施。研究人员发现，与传统DDoS攻击依赖短时间高流量压垮目标主机的暴力方式不同，本次攻击在5小时内的峰值流量仅为每秒20.5万次请求（RPS），平均约每秒13.6万次，每个源IP每9秒才发起一次请求，远低于多数安全系统的检测阈值，因此所有IP均未触发告警。

研究人员还发现，攻击流量呈现周期性波动的波浪形态，并夹杂间歇性停顿，旨在重置防护工具的限速计数器，使防御系统误判为流量已恢复正常，从而为攻击者争取时间轮换IP地址、User-Agent和攻击载荷。研究人员认为，攻击者借此实现低强度、持续性的渗透，同时规避各类检测机制。

此外，本次攻击的基础设施高度多元化，流量来源混合了AWS、Google Cloud、DigitalOcean、Cloudflare等主流云服务商，同时也包含大量匿名化和隐私导向的ASN（自治系统编号）。这表明攻击者试图将恶意流量混入大量正常云流量中，使封禁ASN的策略难以奏效。攻击者还刻意模拟正常浏览器行为，伪造HTTP头、Cookie、URL参数及浏览器配置文件，进一步提升隐蔽性。

安全研究人员指出，此次攻击标志着DDoS攻击思维的重大转变：攻击正从单纯依赖大流量，转向模仿正常用户行为，以绕过传统基于阈值和IP地址的防御体系。