IT之家5月7日消息，网络安全（885459）厂商DataDome发文，揭露了近年来黑客DDoS攻击的新趋势，如今黑客们正逐步将短时间的大规模流量冲击转向更加缓慢、低调且持续时间更长的攻击模式。

IT之家参考通报获悉，DataDome旗下Galileo团队在2026年4月拦截了一起针对某AIGC平台客户的机器人DDoS攻击，此次攻击在5小时内累计发出了24.5亿次请求，始终没有触发平台传统防护系统的流量限制机制。发动此次攻击的僵尸网络横跨16,402个自主系统，涉及约120万个独立IP地址，成为DataDome迄今观测到结构最复杂的DDoS攻击基础设施之一。

研究人员指出，与传统DDoS在短时间内通过超高流量直接压垮目标服务器的“暴力式”攻击不同，此次攻击在持续5小时期间，峰值请求速率仅为每秒20.5万次(RPS)，平均约为每秒13.6万次。同时，每个来源IP平均每9秒才发送一次请求，远低于多数安全系统的流量阈值，因此几乎不会触发平台检测机制。

研究人员还发现，攻击流量呈现周期（883436）性波动的波浪式特征，中间会穿插短暂停顿，目的是让防护系统中的限速计数器(Rate Limit Counter)重置，使防御系统误以为流量已经恢复正常，从而为攻击者轮换IP争取时间。研究团队认为，黑客正是借助这种方式，在维持持续攻击的同时尽可能降低暴露风险，并避免超过安全系统的检测阈值。

此外，此次攻击所使用的基础设施来源十分多样，流量既包括来自亚马逊（AMZN）AWS、谷歌（GOOG）云、DigitalOcean（DOCN）、Cloudflare（NET）等主流云服务平台的节点，也包含大量匿名化“肉鸡”资源。同时黑客们还会伪造HTTP Headers、Cookies、URL参数以及浏览器指纹等信息模拟正常浏览器访问平台行为，以进一步提高攻击流量的隐蔽性。

安全研究人员表示，此次事件反映出DDoS攻击思路正在发生演进。攻击方式已不再单纯依赖超大规模流量，而是开始模仿真实用户行为，以绕过传统基于IP与流量阈值的防御机制。