北京
五小時內,24.5億次惡意請求涌向一家大型用戶生成內容平臺。這不是傳統的暴力洪水,而是一場精心編排的"慢動作"圍攻——攻擊者動用了120萬個獨立IP地址,每個源頭平均9秒才發送一次請求。
這種分布式結構直接戳中了傳統速率限制防御的死穴。當單個IP的請求頻率被壓到極低水平時,沒有任何一個節點在孤立狀態下顯得可疑。但聚合效應卻是毀滅性的:攻擊峰值達到每秒20.5萬次請求,平均維持13.6萬RPS的持續性壓力。
流量分析揭示了一個明顯的波浪模式,而非恒定洪流。人類操作者或其自動化編排層主動循環調整攻擊強度,測試哪些請求模式能夠穿透緩解措施。這些戰術性暫停讓聚合速率計數器得以重置;短暫的平靜期間,攻擊者輪換IP、更換用戶代理、調整返回載荷,在不觸發結構性警報的前提下維持攻勢。
這場攻擊的基礎設施呈現出驚人的碎片化程度:橫跨16,402個自治系統(ASN)。分布極為扁平——貢獻最大的ASN僅占總攻擊流量的3%。這種扁平結構本身就是一種規避簽名,確保封鎖任何一個ASN都不會對整體行動造成實質性損傷。
威脅行為者刻意將隱私導向的基礎設施與合法云服務商混用。1337 Services GmbH、Church of Cyberology等匿名友好型ASN,與Cloudflare、AWS、Google等主流云廠商并行出現。通過大型云提供商路由流量,惡意請求輕松混入了海量的合法云出口流量中。
DataDome的Galileo威脅研究團隊通過多層行為檢測的組合,實時識別并攔截了這次攻擊。然而攻擊者的規避技術僅處于中等 sophistication 水平:雖然偽造了請求頭、Cookie和URL參數,但缺乏高級瀏覽器自動化或JavaScript偽造能力。其客戶端瀏覽器識別信號在單個會話內持續漂移,暴露出自動化工具無法維持一致身份的典型特征。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
