快科技 1 月 29 日消息，日前，国内 AI 大模型 DeepSeek 全球爆红，不仅引发硅谷震动，更让华尔街陷入了恐慌。

DeepSeek 的爆火冲击美股，英伟达 27 日一夜市值蒸发约 5900 亿美元（约 4.3 万亿人民币）。

与此同时，DeepSeek 线上服务也遭到了大规模恶意攻击，1 月 28 日，DeepSeek 发布公告，为持续提供服务，暂时限制了 +86 手机号以外的注册方式。

据奇安信介绍，监测显示，DeepSeek 近一个月来一直遭受大量海外攻击，1 月 27 日起手段升级，除了 DDos 攻击，奇安信 XLab 实验室还发现了大量的密码爆破攻击。

XLab 实验室第一时间披露并还原了本次 DeepSeek 遭 DDoS 攻击事件的幕后细节。

第一阶段，1 月 3 日、4 日、6 日、7 日、13 日，出现疑似 HTTP 代理攻击。

在该时间段，XLab 可以看到大量通过代理去链接 DeepSeek 的代理请求，很可能也是 HTTP 代理攻击。

第二阶段，1 月 20 日、22-26 日，攻击方法转为 SSDP、NTP 反射放大。

该时间段，XLab 监测发现的主要攻击方式是 SSDP、NTP 反射放大，少量 HTTP 代理攻击。通常 SSDP、NTP 反射放大这种攻击的防御要简单一些，容易清洗。

第三阶段，1 月 27 日、28 日，攻击数量激增，手段转为应用层攻击。

从 27 日开始，XLab 发现的主要攻击方式换成了 HTTP 代理攻击，此类应用层攻击模拟正常用户行为，与经典的 SSDP、NTP 反射放大攻击相比，防御难度显著增加，因此更加有效。

攻击指令趋势图

部分攻击指令

XLab 还发现，1 月 28 日攻击峰值出现在北京时间 03:00-04:00（UTC+8），对应北美东部时区 14:00-15:00（UTC-5）。

该时间窗口选择显示攻击存在跨境特征，且不排除针对海外服务可用性的定向打击意图。

值得注意的是，1 月 28 日 3 点开始，本次 DDoS 攻击还伴随着大量的暴力破解攻击，暴力破解攻击 IP 全部来自美国。

奇安信称，面对 27 日、28 日深夜突然升级的大规模 DDoS 攻击，DeepSeek 第一时间进行了响应和处理。

XLab 基于大网的 passivedns 数据，看到 DeepSeek 在 28 日凌晨 00:58 分在攻击者发起 HTTP 代理攻击这种有效且破坏力巨大的攻击时做过一次 IP 切换。

这个切换时间和上面截图 Deepseek 自己的公告时间线符合，应该是为了更好的安全防御，这也更印证了 XLab 此前对本次 DDoS 攻击的判断。