# 安全公司揭露黑客 DDoS 攻击新趋势：从短时间大规模流量冲击转为"低调漫长攻击"

- 来源：IT之家（RSS）
- 发布时间：2026-05-07 20:15
- AIHOT 分数：42
- AIHOT 链接：https://aihot.virxact.com/items/cmovga0n201djsl5s3xzn6y3v
- 原文链接：https://www.ithome.com/0/947/405.htm

## AI 摘要

网络安全厂商DataDome揭露DDoS攻击新趋势，攻击模式转向低调、漫长的低速率攻击。2026年4月一起针对AIGC平台的攻击持续5小时，累计发出24.5亿次请求，但因峰值速率仅每秒20.5万次且每个IP平均每9秒才发送一次请求，未触发传统防护阈值。攻击僵尸网络横跨约1.6万个系统，涉及120万个IP，流量呈周期性波动并穿插停顿以重置防御系统。攻击者通过伪造信息模拟正常用户行为，成功绕过基于流量阈值的传统防御机制。

## 正文

IT之家 5 月 7 日消息，网络安全厂商 DataDome 发文，揭露了近年来黑客 DDoS 攻击的新趋势，如今黑客们正逐步将短时间的大规模流量冲击转向更加缓慢、低调且持续时间更长的攻击模式。

IT之家参考通报获悉，DataDome 旗下 Galileo 团队在 2026 年 4 月拦截了一起针对某 AIGC 平台客户的机器人 DDoS 攻击，此次攻击在 5 小时内累计发出了 24.5 亿次请求，始终没有触发平台传统防护系统的流量限制机制。发动此次攻击的僵尸网络横跨 16,402 个自主系统，涉及约 120 万个独立 IP 地址，成为 DataDome 迄今观测到结构最复杂的 DDoS 攻击基础设施之一。

研究人员指出，与传统 DDoS 在短时间内通过超高流量直接压垮目标服务器的“暴力式”攻击不同，此次攻击在持续 5 小时期间，峰值请求速率仅为每秒 20.5 万次（RPS），平均约为每秒 13.6 万次。同时，每个来源 IP 平均每 9 秒才发送一次请求，远低于多数安全系统的流量阈值，因此几乎不会触发平台检测机制。

研究人员还发现，攻击流量呈现周期性波动的波浪式特征，中间会穿插短暂停顿，目的是让防护系统中的限速计数器（Rate Limit Counter）重置，使防御系统误以为流量已经恢复正常，从而为攻击者轮换 IP 争取时间。研究团队认为，黑客正是借助这种方式，在维持持续攻击的同时尽可能降低暴露风险，并避免超过安全系统的检测阈值。

此外，此次攻击所使用的基础设施来源十分多样，流量既包括来自亚马逊 AWS、谷歌云、DigitalOcean、Cloudflare 等主流云服务平台的节点，也包含大量匿名化“肉鸡”资源。同时黑客们还会伪造 HTTP Headers、Cookies、URL 参数以及浏览器指纹等信息模拟正常浏览器访问平台行为，以进一步提高攻击流量的隐蔽性。

安全研究人员表示，此次事件反映出 DDoS 攻击思路正在发生演进。攻击方式已不再单纯依赖超大规模流量，而是开始模仿真实用户行为，以绕过传统基于 IP 与流量阈值的防御机制。
