DeepSeek 遭境外狙擊，這份網(wǎng)絡(luò)安全防護(hù)指南請(qǐng)收好！

來源：湖北國(guó)菱計(jì)算機(jī)科技有限公司-湖北國(guó)聯(lián)計(jì)算機(jī)科技有限公司-荊州網(wǎng)站建設(shè)-荊州軟件開發(fā)-政府網(wǎng)站建設(shè)公司 時(shí)間：2025-02-14

2025年初，國(guó)產(chǎn)AI大模型DeepSeek-R1憑借比肩GPT-4的性能和超低成本一戰(zhàn)成名，卻也因此遭遇持續(xù)數(shù)周的大規(guī)模網(wǎng)絡(luò)攻擊。攻擊手段從DDoS到數(shù)據(jù)泄露步步升級(jí)，背后竟暗藏國(guó)際競(jìng)爭(zhēng)與黑產(chǎn)利益鏈。這場(chǎng)“智攻時(shí)代”的攻防戰(zhàn)，給中國(guó)科技企業(yè)敲響了怎樣的警鐘？我們?cè)撊绾巫龊镁W(wǎng)絡(luò)安全的防護(hù)工作？

一：關(guān)鍵時(shí)間線

1月27日：DeepSeek宣布因基礎(chǔ)設(shè)施遭受“大規(guī)模惡意攻擊”，暫停新用戶注冊(cè)。

1月28日：網(wǎng)絡(luò)安全公司W(wǎng)iz.io報(bào)告稱，發(fā)現(xiàn)與DeepSeek有關(guān)的ClickHouse數(shù)據(jù)庫(kù)發(fā)生泄漏，包含大量敏感用戶數(shù)據(jù)，如聊天記錄和API密鑰。同日，DeepSeek遭受大量HTTP代理攻擊，攻擊烈度較之前有明顯提升。

1月29日：《環(huán)球時(shí)報(bào)》披露，自1月初起，DeepSeek就一直在遭受定期的分布式拒絕服務(wù)（DDoS）攻擊，運(yùn)用了反射放大技術(shù)，同時(shí)伴有來自美國(guó)IP地址的HTTP代理攻擊以及暴力破解嘗試。

1月30日：國(guó)內(nèi)安全服務(wù)公司發(fā)布報(bào)告稱，兩種Mirai僵尸網(wǎng)絡(luò)變體——“HailBot”和“RapperBot”是近期攻擊的幕后黑手，利用16個(gè)命令與控制（C2）服務(wù)器以及100多個(gè)C2端口，發(fā)起了協(xié)同攻擊。

二、主要攻擊方式及幕后黑手

反射放大攻擊：在1月27日之前的攻擊中，主要以NTP、SSDP、CLDAP等反射放大攻擊為主。攻擊者利用這些協(xié)議的特性，通過偽造目標(biāo)服務(wù)器的IP地址，向第三方服務(wù)器發(fā)送請(qǐng)求，使第三方服務(wù)器返回大量數(shù)據(jù)給目標(biāo)服務(wù)器，從而消耗目標(biāo)服務(wù)器的網(wǎng)絡(luò)帶寬和系統(tǒng)資源。

HTTP代理攻擊：自1月27日開始，大量HTTP代理攻擊出現(xiàn)。攻擊者利用HTTP代理服務(wù)器，隱藏自身IP地址，向DeepSeek發(fā)起惡意請(qǐng)求，增加了攻擊的隱蔽性和防御難度。

僵尸網(wǎng)絡(luò)攻擊：1月30日凌晨，RapperBot和HailBot這兩個(gè)Mirai變種僵尸網(wǎng)絡(luò)參與對(duì)DeepSeek的攻擊。僵尸網(wǎng)絡(luò)控制大量如物聯(lián)網(wǎng)設(shè)備等被感染設(shè)備，發(fā)起分布式拒絕服務(wù)（DDoS）攻擊，耗盡DeepSeek服務(wù)器網(wǎng)絡(luò)帶寬和系統(tǒng)資源，致其無法正常服務(wù)。

根據(jù)國(guó)內(nèi)安全服務(wù)公司監(jiān)測(cè)，發(fā)現(xiàn)僵尸網(wǎng)絡(luò)RapperBot和HailBot針對(duì)DeepSeek發(fā)動(dòng)了DDoS攻擊。為了更有效地研判風(fēng)險(xiǎn)，支撐對(duì)相關(guān)攻擊的防范，平臺(tái)樣本庫(kù)中提取了上述兩個(gè)僵尸網(wǎng)絡(luò)所使用的僵尸木馬樣本，進(jìn)行了進(jìn)一步分析工作。

其中，RapperBot平均每天攻擊上百個(gè)目標(biāo)，高峰時(shí)期指令上千條，攻擊目標(biāo)分布在巴西、白俄羅斯、俄羅斯、中國(guó)、瑞典等地區(qū)。具體攻擊指令趨勢(shì)和攻擊目標(biāo)地區(qū)分布如下圖：

HailBot的攻擊比RapperBot更加穩(wěn)定。平均每天攻擊指令上千條、攻擊上百個(gè)目標(biāo)。攻擊目標(biāo)分布在中國(guó)、美國(guó)、英國(guó)、中國(guó)香港、德國(guó)等地區(qū)。具體攻擊指令趨勢(shì)和攻擊目標(biāo)地區(qū)分布如下圖：

從兩張圖不難發(fā)現(xiàn)，這兩個(gè)僵尸網(wǎng)絡(luò)“接單”頻繁，符合典型的“職業(yè)打手”特征。XLab安全專家認(rèn)為，僵尸網(wǎng)絡(luò)攻擊雖然是一種很古老的攻擊方式，但依然屢試不爽?！昂茱@然，今天凌晨這一波兒，黑客采購(gòu)的是專業(yè)的網(wǎng)絡(luò)攻擊僵尸網(wǎng)絡(luò)服務(wù)”。

三、影響有多嚴(yán)重？

服務(wù)中斷：DeepSeek線上服務(wù)多次出現(xiàn)中斷情況，嚴(yán)重影響了正常用戶的使用體驗(yàn)，導(dǎo)致用戶無法正常使用其AI服務(wù)和數(shù)據(jù)。

數(shù)據(jù)泄漏風(fēng)險(xiǎn)：ClickHouse數(shù)據(jù)庫(kù)發(fā)生泄漏，包含大量敏感用戶數(shù)據(jù)，如聊天記錄和API密鑰，給用戶帶來了數(shù)據(jù)泄漏風(fēng)險(xiǎn)，可能引發(fā)隱私問題和信任危機(jī)。

業(yè)務(wù)發(fā)展受阻：作為一款新興的AI大模型，DeepSeek在發(fā)展初期遭受如此大規(guī)模的網(wǎng)絡(luò)攻擊，對(duì)其業(yè)務(wù)推廣和發(fā)展造成了一定阻礙，可能影響其市場(chǎng)競(jìng)爭(zhēng)力和用戶口碑。

惡意偽造：除了遭受針對(duì)性網(wǎng)絡(luò)攻擊外，DeepSeek也成了黑產(chǎn)眼中的“肥肉”。大量網(wǎng)絡(luò)犯罪分子通過發(fā)布山寨版本來傳播惡意軟件，或騙取用戶訂閱費(fèi)用。例如，發(fā)現(xiàn)deepseek-6phm9gg3zoacooy.app-tools.info網(wǎng)站傳播被標(biāo)識(shí)為Win32/Packed.NSIS.A的惡意軟件，該惡意軟件經(jīng)過數(shù)字簽名，更具欺騙性，容易讓用戶放松警惕。研究人員指出，假冒網(wǎng)站通常設(shè)有醒目的“立即下載”按鈕，而真正的DeepSeek官網(wǎng)并不需要用戶下載軟件即可使用其服務(wù)。

除了假冒網(wǎng)站和惡意軟件分發(fā)，網(wǎng)絡(luò)犯罪分子還利用DeepSeek的知名度進(jìn)行加密貨幣和投資領(lǐng)域的詐騙。一些不法分子在各種區(qū)塊鏈網(wǎng)絡(luò)上創(chuàng)建了虛假的DeepSeek加密貨幣代幣。此外，還有一些騙子聲稱出售DeepSeek的IPO前股票，試圖以此為幌子騙取投資者的資金。

DeepSeek發(fā)布官方聲明，稱目前DeepSeek僅在以下社交媒體平臺(tái)擁有唯一官方賬號(hào)：

微信公眾號(hào)：DeepSeek

小紅書：@DeepSeek(deepseek_ai)

X(Twitter):DeepSeek(@deepseek_ai)

除以上官方賬號(hào)外，其他任何以DeepSeek或相關(guān)負(fù)責(zé)人名義對(duì)外發(fā)布公司相關(guān)信息的，均為仿冒賬號(hào)。

四、攻擊動(dòng)因分析

技術(shù)領(lǐng)先與開源策略沖擊：DeepSeek的技術(shù)優(yōu)勢(shì)明顯，其推出的R1模型在性能上與GPT-4.0不相上下，但訓(xùn)練成本僅為其1/20，這種低成本高效益的技術(shù)路線對(duì)美國(guó)AI霸權(quán)形成了沖擊。其開源策略更是讓美國(guó)企業(yè)擔(dān)心技術(shù)壁壘被打破，從而可能引發(fā)競(jìng)爭(zhēng)對(duì)手或相關(guān)利益方的惡意打壓。

國(guó)際競(jìng)爭(zhēng)與地緣政治因素：隨著中國(guó)在科技領(lǐng)域的不斷崛起，國(guó)外黑客的惡意攻擊也日益增多。DeepSeek作為中國(guó)明星企業(yè)，在國(guó)際上受到的關(guān)注度不斷提高，其成功可能引發(fā)了一些境外不法勢(shì)力的暗中阻擊，攻擊背后或許存在國(guó)際競(jìng)爭(zhēng)與地緣政治的復(fù)雜因素。

商業(yè)利益與技術(shù)炫耀：攻擊者可能是競(jìng)爭(zhēng)對(duì)手出于商業(yè)利益的考慮，試圖通過攻擊來削弱DeepSeek的市場(chǎng)競(jìng)爭(zhēng)力。也有可能是黑客組織出于技術(shù)炫耀或?qū)で蟠碳さ哪康模哉故酒涓叱木W(wǎng)絡(luò)攻擊技術(shù)。

新技術(shù)風(fēng)險(xiǎn)與安全威脅動(dòng)態(tài)演化：生成式人工智能和大模型技術(shù)的發(fā)展，推動(dòng)了傳統(tǒng)攻擊技術(shù)的自動(dòng)化水平提升，也帶來了深度偽造等攻擊技術(shù)的迅速成熟，大模型平臺(tái)自身也成為高價(jià)值目標(biāo)，DeepSeek作為AI大模型領(lǐng)域的明星企業(yè)，自然成為攻擊者的重要目標(biāo)。

五、防護(hù)建議（公安部一所深圳服務(wù)中心）

DeepSeek遭受的網(wǎng)絡(luò)攻擊事件，不僅僅是技術(shù)層面的挑戰(zhàn)，更是國(guó)際競(jìng)爭(zhēng)與地緣政治博弈的體現(xiàn)。攻擊手段的多樣化和復(fù)雜化，凸顯了網(wǎng)絡(luò)安全在當(dāng)前國(guó)際形勢(shì)下的極端重要性。同時(shí)，也反映出在新技術(shù)快速發(fā)展的背景下，網(wǎng)絡(luò)安全防護(hù)需要與時(shí)俱進(jìn)，不能僅僅依賴傳統(tǒng)的防護(hù)措施，而應(yīng)積極探索新技術(shù)在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用，提升整體防護(hù)能力。

本次事件表明網(wǎng)絡(luò)攻擊已邁入“智攻時(shí)代”，建議各行業(yè)領(lǐng)導(dǎo)者重新界定關(guān)鍵數(shù)字資產(chǎn)保護(hù)范圍，把安全投入納入創(chuàng)新成本核算，并啟動(dòng)應(yīng)對(duì)“先進(jìn)攻擊手段”的攻防演練行動(dòng)計(jì)劃。高度重視DDoS攻擊防護(hù)，構(gòu)建全方位防護(hù)體系，抵御DDoS攻擊對(duì)業(yè)務(wù)正常運(yùn)轉(zhuǎn)和數(shù)據(jù)安全的沖擊。

（一）網(wǎng)絡(luò)安全防護(hù)體系構(gòu)建

加強(qiáng)威脅檢測(cè)與響應(yīng)（檢測(cè)）：構(gòu)建AI威脅平臺(tái)，利用人工智能技術(shù)收集和分析大量的網(wǎng)絡(luò)數(shù)據(jù)、系統(tǒng)日志以及用戶行為數(shù)據(jù)，自動(dòng)識(shí)別潛在的安全威脅。及時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的異常流量、惡意軟件活動(dòng)以及未知的攻擊行為，為安全團(tuán)隊(duì)提供精準(zhǔn)的威脅情報(bào)，幫助他們快速響應(yīng)和處理安全事件。

提升訪問控制能力（防護(hù)）：實(shí)施動(dòng)態(tài)訪問控制防護(hù)，根據(jù)用戶的角色、權(quán)限以及訪問的上下文環(huán)境，動(dòng)態(tài)生成訪問控制策略。這樣可以確保每個(gè)用戶只能訪問其被授權(quán)的資源，有效防止非法訪問和數(shù)據(jù)泄露。

強(qiáng)化數(shù)據(jù)安全防護(hù)（溯源）：強(qiáng)化溯源能力，清晰記錄數(shù)據(jù)的來源、流向和處理過程，以便在發(fā)生數(shù)據(jù)泄露或異常篡改時(shí)，能夠迅速追溯到問題根源。同時(shí)，對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，確保數(shù)據(jù)在傳輸和存儲(chǔ)過程中的保密性和完整性。

（二）供應(yīng)鏈安全管理

建立供應(yīng)鏈安全評(píng)估機(jī)制：對(duì)供應(yīng)商進(jìn)行安全評(píng)估，包括其安全管理體系、技術(shù)能力、安全事件響應(yīng)能力等方面。選擇具有良好安全信譽(yù)和可靠安全能力的供應(yīng)商，降低供應(yīng)鏈安全風(fēng)險(xiǎn)。

部署可信執(zhí)行環(huán)境：在供應(yīng)鏈的關(guān)鍵環(huán)節(jié)部署硬件級(jí)可信執(zhí)行環(huán)境，為關(guān)鍵計(jì)算任務(wù)提供一個(gè)安全、可信的運(yùn)行環(huán)境。確保關(guān)鍵數(shù)據(jù)和計(jì)算過程在硬件層面得到保護(hù)，防止外部攻擊和內(nèi)部泄露的風(fēng)險(xiǎn)。

（三）安全運(yùn)營(yíng)模式拓展

建立“紅藍(lán)對(duì)抗”機(jī)制：創(chuàng)建“紅藍(lán)對(duì)抗”常態(tài)化機(jī)制，在專業(yè)服務(wù)商團(tuán)隊(duì)的配合下，在企業(yè)內(nèi)部建立專業(yè)的“紅隊(duì)”和“藍(lán)隊(duì)”。“紅隊(duì)”模擬黑客攻擊，以當(dāng)下流行的攻擊手段，尋找系統(tǒng)和網(wǎng)絡(luò)中的安全漏洞；“藍(lán)隊(duì)”負(fù)責(zé)防守，應(yīng)對(duì)“紅隊(duì)”的攻擊，提升防御能力。通過常態(tài)化的“紅藍(lán)對(duì)抗”演練，不斷發(fā)現(xiàn)和修復(fù)安全漏洞，提高安全團(tuán)隊(duì)的實(shí)戰(zhàn)能力。

推行安全能力量化評(píng)估：建立安全能力量化評(píng)估體系，對(duì)企業(yè)的安全能力進(jìn)行客觀、準(zhǔn)確的評(píng)估。從安全防護(hù)的有效性、安全事件的響應(yīng)速度、安全策略的合規(guī)性等多個(gè)維度進(jìn)行量化評(píng)估，幫助企業(yè)清晰了解自身安全能力的現(xiàn)狀和不足，為安全建設(shè)提供明確的方向和目標(biāo)。

（四）重視DDoS攻擊的防護(hù)

網(wǎng)絡(luò)層面，部署防火墻和ACL過濾惡意流量，使用IPS監(jiān)控并實(shí)時(shí)阻止DDoS攻擊，借助CDN分配流量，分析流量模式減少流量型攻擊影響；應(yīng)用層面，運(yùn)用WAF檢查流量、阻止惡意請(qǐng)求并定期更新規(guī)則，通過更改網(wǎng)絡(luò)設(shè)置等方式發(fā)現(xiàn)并修復(fù)漏洞，添加驗(yàn)證碼防御bot攻擊；基礎(chǔ)設(shè)施層面，采用可擴(kuò)展和分布式基礎(chǔ)設(shè)施，如Anycast網(wǎng)絡(luò)路由、負(fù)載均衡器和CDN，在不同網(wǎng)絡(luò)部署數(shù)據(jù)中心，增加基礎(chǔ)設(shè)施韌性；專業(yè)DDoS防護(hù)服務(wù)方面，如Cloudflare、AWSShield等持續(xù)監(jiān)控并過濾惡意流量，運(yùn)營(yíng)商提供流量清洗等服務(wù)，借助分布式近源清洗等技術(shù)幫助企業(yè)應(yīng)對(duì)攻擊；安全運(yùn)營(yíng)和管理上，提前制定DDoS響應(yīng)計(jì)劃，使用實(shí)時(shí)流量分析工具監(jiān)控并設(shè)置警報(bào)。

（轉(zhuǎn)載自：廣東省計(jì)算機(jī)網(wǎng)絡(luò)信息安全協(xié)會(huì)）