奇安信:DeepSeek遭受攻擊存在跨境特徵攻擊還會持續
近日,DeepSeek(深度求索)官網服務狀態頁面顯示:近期DeepSeek線上服務受到大規模惡意攻擊,為持續提供服務,暫時限制了+86手機號以外的註冊方式,已註冊用戶可以正常登錄,感謝理解和支持。

奇安信Xlab實驗室近期監測發現,DeepSeek近一個月來一直遭受大量海外攻擊,1月27日起手段升級,除了DDos攻擊,分析發現還包括了大量的密碼爆破攻擊,DeepSeek的AI服務和數據正在經歷前所未有的安全考驗。實驗室相關專家表示,攻擊未來將持續。
“通过我们的持续监测,近期DeepSeek遭到了大规模、持续性的DDoS攻击,攻击可能从1月3日、4日就开始,27日、28日攻击手段升级,导致防御难度显著增加,因此更加有效,甚至对注册访问造成了影响”。奇安信XLab实验室第一时间披露并还原了本次DeepSeek遭DDoS攻击事件的幕后细节。
奇安信XLab實驗室長期關注了DeepSeek上線以來的網路攻擊狀況,發現其具有持續時間長、變化快等特點,具體可分為三個階段:
第一階段,1月3日、4日、6日、7日、13日,出現疑似HTTP代理攻擊。
在該時間段,Xlab可以看到大量透過代理去連結DeepSeek的代理請求,很可能也是HTTP代理攻擊。
第二階段,1月20日、22-26日,攻擊方法轉為SSDP、NTP反射放大。
在該時間段,XLab監測發現的主要攻擊方式是SSDP、NTP反射放大,少量HTTP代理攻擊。通常SSDP、NTP反射放大這種攻擊的防禦要簡單一些,容易清洗。
第三階段,1月27號、28號,攻擊數量激增,手段轉為應用層攻擊。
从27日开始,XLab发现的主要攻击方式换成了HTTP代理攻击,攻击此类应用层攻击模拟正常用户行为,相对于经典的SSDP、NTP反射放大攻击相比防御难度显著增加,因此更加有效。
XLab也發現,1月28日攻擊峰值出現在北京時間03:00-04:00(UTC+8),對應北美東部時區14:00-15:00(UTC-5)。此時間窗口選擇顯示攻擊存在跨境特徵,且不排除針對海外服務可用性的定向打擊意圖。
此外,1月28號03點開始,本次DDoS攻擊還伴隨著大量的暴力破解攻擊。暴力破解攻擊IP全部來自美國。 XLab的數據能辨識這些IP有一半是VPN出口,推測也有可能是因為DeepSeek限制海外手機用戶導致的情況。
面對27、28日深夜突然升級的大規模DDoS攻擊,DeepSeek第一時間進行了回應和處理。 XLab基於大網的passivedns數據,看到DeepSeek在28號凌晨00:58分在攻擊者發起HTTP代理攻擊這種有效且破壞力巨大的攻擊時做過一次IP切換,這個切換時間和上面截圖Deepseek自己的公告時間線符合,應該是為了更好的安全防禦。這也更印證了XLab先前對本次DDoS攻擊的判斷。
奇安信XLab安全專家指出,這次大規模攻擊事件並非個案,近年來,針對高科技企業的網路攻擊呈現愈演愈烈的趨勢。攻擊者動機複雜,既有出於商業競爭目的,也有企圖竊取核心技術數據,甚至不乏一些國家背景的駭客組織,試圖透過攻擊手段遏止我國高科技產業發展。例如2024年12月18日,國家網路緊急中心CNCERT發佈公告,發現處置威脅兩起美對我大型科技企業機構網路攻擊事件,足可見我國高科技產業面臨的嚴峻威脅。
這次DeepSeek被攻擊事件,再次提醒我們,網路安全無小事,尤其是越來越多有組織的專業團隊參與,給防禦造成了極大挑戰。只有政府、企業和使用者共同努力,才能建立安全、可靠的網路環境,為國家高科技產業發展保駕護航。