2026.05.11

2.45 亿请求 DDoS 攻击利用了 120 万个 IP 规避速率限制

分布式拒绝服务(DDoS)活动针对一个大规模的用户生成内容平台,仅在五小时内就释放了超过 24.5 亿次恶意请求。
攻击者没有依赖暴力破解方法 ,而是将流量分布在 120 万个独立 IP 地址上。这一结构性转变暴露了传统限价防御的根本弱点。
通过保持单个 IP 请求率极低,威胁行为者在保持对目标施加巨大压力的同时,规避了标准检测系统。原始的活动指标凸显出一项高度协调的行动,旨在避开传统静态阈值的视野。
攻击峰值达到每秒 205,344 请求(RPS),并持续保持约 136,000 RPS 的平均请求。为了避免触发每个 IP 的速率限制,每个源平均每 9 秒只能发一个请求。
这种低频频率意味着僵尸网络中没有单个节点单独显示为恶意。交通分析显示出明显的波浪模式,而非持续洪水。
人工操作员或其自动编排层主动循环攻击强度,以测试哪些请求模式能够经受缓解。在这些短暂的平静期,攻击者轮换 IP、交换用户代理并返回有效载荷,以维持攻击而不触发结构性警报。
僵尸网络的基础设施高度分散,涵盖 16,402 个自主系统(ASN), 这代表了极高的协调水平。分布异常平稳,贡献最大的 ASN 仅占总攻击流量的 3%。
这种平面结构作为规避签名,确保阻断任何单一 ASN 不会对活动造成实质性影响。威胁行为者故意将隐私导向的基础设施与合法的云服务提供商混合使用,以掩盖其活动。
支持匿名化的 ASN,如 1337 Services GmbH 和 Church of Cyberology,与 Cloudflare、AWS 和 Google 等知名品牌并用。
通过这些主要云服务提供商路由流量,恶意请求很容易融入大量合法云出口流量中。
该行动反映了一个能够管理庞大且遍布全球的僵尸网络的对手。然而,他们的规避技术仅算中等复杂。
他们的客户端浏览器识别信号在单个会话中不断变化,显示出自动化工具无法保持一致身份的典型特征。DataDome 的 Galileo 威胁研究团队通过结合多层行为检测,成功实时识别并阻止了该攻击。
由于静态速率限制在动态调优的音量下失效,防御者依赖服务器端指纹识别来捕捉网络层的不一致。
行为分析识别出异常会话序列,威胁情报标记了声誉负面的 IP。
此事件凸显了随着 DDoS 策略向分布式规避演进,检测必须基于跨时间和来源的行为基线,而非孤立评估请求。


上一篇:新的钓鱼攻击利用活动邀请来窃取登录凭证

下一篇:黑客利用JPEG文件部署恶意软件