駭客發動長達5小時慢而低調的DDoS攻擊以規避偵測

DataDome的Galileo團隊在2026年4月緩解了一波針對一家使用者生成內容平臺客戶的網頁機器人（bot）DDoS流量攻擊，以時間換取空間，在5小時內發出24.5億次請求，但未曾觸發傳統防護方案流量限制的機制。

發動這波攻擊的殭屍網路橫跨16,402個自主系統（autonomous system，AS）遍及120萬個不重複IP位址，是DataDome觀察到最繁複的DDoS基礎架構。研究人員發現，和多數DDoS在短時間以極大流量癱瘓目標主機的暴力作法不同，在5小時的攻擊期間，尖峰流量是每秒20.5萬次請求（RPS），平均約13.6萬次，每個來源IP位址每9秒才發出一次請求，遠低於多數安全方案的流量上限，這意謂著所有IP都不會觸發偵測機制。

研究人員還發現，攻擊流量呈現週期性起伏的波浪形態、中間夾雜停頓，意在使防護工具的限速計（rate-limit counter）重置、防禦系統誤判為流量恢復正常，讓操作者有時間輪換IP、user-agent、攻擊酬載，他們相信操作者藉此保持低調穩定攻擊，又不超過偵測閾值。

另外，這波攻擊的基礎設施多樣化，流量來源混合了AWS、Google Cloud、DigitalOcean、Cloudflare等大型雲端服務，但也包含不少匿名化、隱私導向的ASN（Autonomous System Number，自主系統編號）。這可能反映攻擊者把惡意流量混進大量正常雲端流量，讓封鎖ASN不可行。攻擊者還試圖模仿正常瀏覽器行為，例如偽造HTTP headers、cookies、URL parameters、browser profile。

安全研究人員相信，這次攻擊代表攻擊思維的演進，DDoS攻擊正從單純依靠大流量，轉向模仿正常使用模式，藉此繞過傳統基於閾值與IP的防禦方法。