奇安信：DeepSeek遭美国IP网攻暴力破解

1月29日消息，日前，国内AI大模型DeepSeek全球爆红，不仅引发硅谷震动，更让华尔街陷入了恐慌。

DeepSeek的爆火冲击美股，英伟达27日一夜市值蒸发约5900亿美元（约4.3万亿人民币）。

与此同时，DeepSeek线上服务也遭到了大规模恶意攻击，1月28日，DeepSeek发布公告，为持续提供服务，暂时限制了+86手机号以外的注册方式。

据奇安信介绍，监测显示，DeepSeek近一个月来一直遭受大量海外攻击，1月27日起手段升级，除了DDos攻击，奇安信XLab实验室还发现了大量的密码爆破攻击。

XLab实验室第一时间披露并还原了本次DeepSeek遭DDoS攻击事件的幕后细节。

第一阶段，1月3日、4日、6日、7日、13日，出现疑似HTTP代理攻击。

在该时间段，XLab可以看到大量通过代理去链接DeepSeek的代理请求，很可能也是HTTP代理攻击。

第二阶段，1月20日、22-26日，攻击方法转为SSDP、NTP反射放大。

该时间段，XLab监测发现的主要攻击方式是SSDP、NTP反射放大，少量HTTP代理攻击。通常SSDP、NTP反射放大这种攻击的防御要简单一些，容易清洗。

第三阶段，1月27日、28日，攻击数量激增，手段转为应用层攻击。

从27日开始，XLab发现的主要攻击方式换成了HTTP代理攻击，此类应用层攻击模拟正常用户行为，与经典的SSDP、NTP反射放大攻击相比，防御难度显著增加，因此更加有效。

攻击指令趋势图

部分攻击指令

XLab还发现，1月28日攻击峰值出现在北京时间03:00-04:00（UTC+8），对应北美东部时区14:00-15:00（UTC-5）。

该时间窗口选择显示攻击存在跨境特征，且不排除针对海外服务可用性的定向打击意图。

值得注意的是，1月28日3点开始，本次DDoS攻击还伴随着大量的暴力破解攻击，暴力破解攻击IP全部来自美国。

奇安信称，面对27日、28日深夜突然升级的大规模DDoS攻击，DeepSeek第一时间进行了响应和处理。

XLab基于大网的passivedns数据，看到DeepSeek在28日凌晨00:58分在攻击者发起HTTP代理攻击这种有效且破坏力巨大的攻击时做过一次IP切换。

这个切换时间和上面截图Deepseek自己的公告时间线符合，应该是为了更好的安全防御，这也更印证了XLab此前对本次DDoS攻击的判断。（拾柒）