安全公司揭露黑客 DDoS 攻击新趋势：从短时间大规模流量冲击转为“低调漫长攻击”

5 月 7 日消息，网络安全厂商 DataDome 发文，揭露了近年来黑客 DDoS 攻击的新趋势，如今黑客们正逐步将短时间的大规模流量冲击转向更加缓慢、低调且持续时间更长的攻击模式。

参考通报获悉，DataDome 旗下 Galileo 团队在 2026 年 4 月拦截了一起针对某 AIGC 平台客户的机器人 DDoS 攻击，此次攻击在 5 小时内累计发出了 24.5 亿次请求，始终没有触发平台传统防护系统的流量限制机制。发动此次攻击的僵尸网络横跨 16,402 个自主系统，涉及约 120 万个独立 IP 地址，成为 DataDome 迄今观测到结构最复杂的 DDoS 攻击基础设施之一。

研究人员指出，与传统 DDoS 在短时间内通过超高流量直接压垮目标服务器的“暴力式”攻击不同，此次攻击在持续 5 小时期间，峰值请求速率仅为每秒 20.5 万次（RPS），平均约为每秒 13.6 万次。同时，每个来源 IP 平均每 9 秒才发送一次请求，远低于多数安全系统的流量阈值，因此几乎不会触发平台检测机制。

研究人员还发现，攻击流量呈现周期性波动的波浪式特征，中间会穿插短暂停顿，目的是让防护系统中的限速计数器（Rate Limit Counter）重置，使防御系统误以为流量已经恢复正常，从而为攻击者轮换 IP 争取时间。研究团队认为，黑客正是借助这种方式，在维持持续攻击的同时尽可能降低暴露风险，并避免超过安全系统的检测阈值。

此外，此次攻击所使用的基础设施来源十分多样，流量既包括来自亚马逊 AWS、谷歌云、DigitalOcean、Cloudflare 等主流云服务平台的节点，也包含大量匿名化“肉鸡”资源。同时黑客们还会伪造 HTTP Headers、Cookies、URL 参数以及浏览器指纹等信息模拟正常浏览器访问平台行为，以进一步提高攻击流量的隐蔽性。

安全研究人员表示，此次事件反映出 DDoS 攻击思路正在发生演进。攻击方式已不再单纯依赖超大规模流量，而是开始模仿真实用户行为，以绕过传统基于 IP 与流量阈值的防御机制。