近日，DeepSeek（深度求索）官网服务状态页面显示：近期DeepSeek线上服务受到大规模恶意攻击，为持续提供服务，暂时限制了+86手机号以外的注册方式，已注册用户可以正常登录，感谢理解和支持。

奇安信Xlab实验室近期监测发现，DeepSeek近一个月来一直遭受大量海外攻击，1月27日起手段升级，除了DDos攻击，分析发现还包括了大量的密码爆破攻击，DeepSeek的AI服务和数据正在经历前所未有的安全考验。实验室相关专家表示，攻击未来将持续。

“通过我们的持续监测，近期DeepSeek遭到了大规模、持续性的DDoS攻击，攻击可能从1月3日、4日就开始，27日、28日攻击手段升级，导致防御难度显著增加，因此更加有效，甚至对注册访问造成了影响”。奇安信XLab实验室第一时间披露并还原了本次DeepSeek遭DDoS攻击事件的幕后细节。

奇安信XLab实验室长期关注了DeepSeek上线以来的网络攻击状况，发现其具有持续时间长、变化快等特点，具体可以分为三个阶段：

第一阶段，1月3日、4日、6日、7日、13日，出现疑似HTTP代理攻击。

在该时间段，Xlab可以看到大量通过代理去链接DeepSeek的代理请求，很可能也是HTTP代理攻击。

第二阶段，1月20日、22-26日，攻击方法转为SSDP、NTP反射放大。

该时间段，XLab监测发现的主要攻击方式是SSDP、NTP反射放大，少量HTTP代理攻击。通常SSDP、NTP反射放大这种攻击的防御要简单一些，容易清洗。

第三阶段，1月27、28号，攻击数量激增，手段转为应用层攻击。

从27日开始，XLab发现的主要攻击方式换成了HTTP代理攻击，攻击此类应用层攻击模拟正常用户行为，相对于经典的SSDP、NTP反射放大攻击相比防御难度显著增加，因此更加有效。

XLab还发现，1月28日攻击峰值出现在北京时间03：00-04：00（UTC+8），对应北美东部时区14：00-15：00（UTC-5）。该时间窗口选择显示攻击存在跨境特征，且不排除针对海外服务可用性的定向打击意图。

此外，1月28号03点开始，本次DDoS攻击还伴随着大量的暴力破解攻击。暴力破解攻击IP全部来自美国。XLab的数据能识别这些IP有一半是VPN出口，推测也有可能是因为DeepSeek限制海外手机用户导致的情况。

面对27日、28日深夜突然升级的大规模DDoS攻击，DeepSeek第一时间进行了响应和处理。XLab基于大网的passivedns数据，看到DeepSeek在28号凌晨00：58分在攻击者发起HTTP代理攻击这种有效且破坏力巨大的攻击时做过一次IP切换，这个切换时间和上面截图Deepseek自己的公告时间线符合，应该是为了更好的安全防御。这也更印证了XLab此前对本次DDoS攻击的判断。

奇安信XLab安全专家指出，此次大规模攻击事件并非孤立事件，近年来，针对高科技企业的网络攻击呈现出愈演愈烈的趋势。攻击者动机复杂，既有出于商业竞争目的，也有企图窃取核心技术数据，甚至不乏一些国家背景的黑客组织，试图通过攻击手段遏制我国高科技产业发展。例如2024年12月18日，国家互联网应急中心CNCERT发布公告，发现处置威胁两起美对我大型科技企业机构网络攻击事件，足可见我国高科技产业面临的严峻威胁。

此次DeepSeek被攻击事件，再次提醒我们，网络安全无小事，尤其是越来越多有组织的专业团队参与，给防御造成了极大挑战。只有政府、企业和用户共同努力，才能构建安全、可靠的网络环境，为国家高科技产业发展保驾护航。