第一阶段，1月3日、4日、6日、7日、13日，出现疑似HTTP代理攻击。

在该时间段，XLab可以看到大量通过代理去链接DeepSeek的代理请求，很可能也是HTTP代理攻击。

第二阶段，1月20日、22-26日，攻击方法转为SSDP、NTP反射放大。

该时间段，XLab监测发现的主要攻击方式是SSDP、NTP反射放大，少量HTTP代理攻击。通常SSDP、NTP反射放大这种攻击的防御要简单一些，容易清洗。

第三阶段，1月27、28号，攻击数量激增，手段转为应用层攻击。

从27日开始，XLab发现的主要攻击方式换成了HTTP代理攻击，此类应用层攻击模拟正常用户行为，与经典的SSDP、NTP反射放大攻击相比，防御难度显著增加，因此更加有效。值得注意的是，1月28日3点开始，本次DDoS攻击还伴随着大量的暴力破解攻击，暴力破解攻击IP全部来自美国。

Http代理攻击：大致是攻击者通过大量被控制的PC向Deepseek的主机不停的发送大量的貌似合法的请求，造成被攻击服务器资源耗尽。因为是貌似合法的请求，所以比较难检测，业内目前比较新的方式是用智能识别方式进行检测：压力学习模型会根据源站返回的HTTP状态码和时延等来实时地感知源站的压力，从而识别源站是否被CC攻击了，DDoS高防再根据异常检测模型实时地检测源站在HTTP协议上的特征的异常行为，然后基于这些异常特征，使用AI算法生成精准防护规则和CC防护规则，来防御CC攻击。

本次Deepseek遭受的DDOS攻击具体如何防护还待进一步实际细节资料发布。