文章总结： 本文复盘快手直播遭黑产攻击事件，攻击者利用1.7万个实名僵尸账号，通过逆向协议实现毫秒级并发开播。攻击利用AI审核盲区和超时豁免机制，发起饱和式流量冲击并耗尽审核算力，致使平台防御瘫痪，最终被迫下线直播服务。建议企业加强协议混淆、实时阻断及抗饱和攻击能力。 综合评分： 86 文章分类： 安全大事件,实战经验,威胁情报,应急响应,应用安全

---

一文读懂-快手12·22攻击事件复盘图解

原创

hacking

Hacking黑白红

2025年12月25日 13:08 安徽

参考图片来源：船山信安

一、前期准备：潜伏与囤积

1、手握1.7万+实名”肉鸡”账号，俗称“僵尸号”

（据说市场价10-100元/个）

来源：

一是被盗取或购买的、已完成实名认证的“肉鸡”账号，它们拥有正常的开播权限，如同潜伏的士兵；

二是攻击者通过黑产渠道获取大量手机号，甚至可能利用系统漏洞绕过或简化实名认证流程，批量注册的“新兵”。

此次参与攻击的账号规模可能高达1.7万至2万个，这批庞大的“僵尸军团”构成了后续所有攻击动作的“武器”基础。

二、瞬间爆发：饱和式冲击（22：00）

准点同步开启海量直播间，形成脉冲式流量，瞬间占满带宽。

攻击的发起方式并非模拟真人操作，而是采用了更底层的“协议级攻击”。

攻击者通过逆向工程，破解了快手直播的客户端与服务器之间的通信协议。这使他们能够编写出所谓的“协议机”，可以跳过所有App前端界面和交互，直接向服务器后端发送经过精心构造的“请求开播”数据包。

这种方式的可怕之处在于三点：

一是速度快，可实现毫秒级的海量账号并发开播；

二是隐蔽性强，没有常规的前端行为轨迹，平台难以通过常规的“异常用户行为”模型进行识别；

三是完全自动化，效率远超人工。这相当于攻击者掌握了直达指挥部的密电码，可以瞬间让所有“僵尸”账号进入战斗状态。

三、防御穿透：绕过与失效（核心逻辑）

利用AI视觉盲区绕过初筛，海量请求瞬间冲垮人工审核队列，防御失灵。

当1.7万以上的直播间几乎在同一瞬间被非法开启时，攻击进入了最关键的“窗口期”争夺战。平台的安全审核机制通常是“异步”的：发现违规 → 判定 → 执行封禁。攻击者正是利用了这个时间差，发动了“饱和式冲击”。

海量的违规直播请求瞬间涌入，可能占满了平台的安全围栏请求通道和封禁接口。据分析，更致命的一击可能在于：攻击者利用平台为保障用户体验而设置的请求超时豁免机制。

四、后果与博弈：传播与拉锯

平台与黑产陷入”打地鼠”式动态博弈。

最后一步，攻击者旨在将违规内容的破坏力最大化。

他们利用自动化脚本，对已经开播的违规直播间进行刷量操作（如刷高观看人数、点赞和互动），人为制造出“热门”假象。

这种操作不仅让违规内容被更多用户看到，更重要的是，它瞬间耗尽了平台的AI审核算力，使原本就因并发攻击而脆弱的审核系统彻底阻塞，导致原本就存在的“异步审核”时间差被无限放大，防御体系在关键时刻宣告失效。

23日00:15左右：快手被迫强制关闭直播功能，部分账号被封禁。

最后此次攻击成本：

综合多家媒体的专业分析，其成本在

数十万到数百万元人民币不等。

一个有直播权限的账号在灰产市场售价约10元至100元。如果折中以50元一个计算，仅1万个账号的成本就达50万元，几万个账号加上代理IP等费用，整体成本可能在百万元以上

往期相关回顾

京东集团安全部-急招，年前尽快入职

【招聘】-阿里安全AGI实验室（北京、杭州）

【招聘】-阿里集团安全部招聘安全工程师（渗透攻防）

【招聘-网络安全】蔚来汽车-AI安全工程师（50-60K）

【招聘-网络安全】杭州甲方招人（统招本科以上+工作5年以上）

【快手】安全急招——年前面试年后入职

1.7万“僵尸”账号的饱和攻击：复盘快手直播被黑产击穿的两小时

快手3年前裁掉整个安全团队？

渗透实战系列

▶【渗透实战系列】|53-记一次3万多赏金的XSS漏洞挖掘经历

▶【渗透实战系列】|52-记一次”91″站点渗透

▶【渗透实战系列】51|- 一次BC站点的GetShell过程

▶【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇

▶【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置

▶【渗透实战系列】|48-一次内网渗透

▶【渗透实战系列】|47-记一次对某鱼骗子卖家的溯源

▶【渗透实战系列】|46-渗透测试：从Web到内网

▶【渗透实战系列】|45-记一次渗透实战-代码审计到getshell

▶【渗透实战系列】|44-记一次授权渗透实战（过程曲折，Java getshell）

▶【渗透实战系列】|43-某次通用型漏洞挖掘思路分享

▶【渗透实战系列】|42-防范诈骗，记一次帮助粉丝渗透黑入某盘诈骗的实战

▶【渗透实战系列】|41-记一次色*情app渗透测试

▶【渗透实战系列】|40-APP渗透测试步骤（环境、代理、抓包挖洞）

▶【渗透实战系列】|39-BC渗透的常见切入点（总结）

▶【渗透实战系列】|38-对某色情直播渗透

▶【渗透实战系列】|37-6年级小学生把学校的网站给搞了！

▶【渗透实战系列】|36-一次bc推广渗透实战

▶【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

▶【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

▶【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

▶【渗透实战系列】|32-FOFA寻找漏洞，绕过杀软拿下目标站

▶【渗透实战系列】|31-记一次对学校的渗透测试

▶【渗透实战系列】|30-从SQL注入渗透内网（渗透的本质就是信息搜集）

▶【渗透实战系列】|29-实战|对某勒索APP的Getshell

▶【渗透实战系列】|28-我是如何拿下BC站的服务器

▶【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试（成功获取管理员真实IP）

▶【渗透实战系列】|26一记某cms审计过程(步骤详细)

▶【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

▶【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

▶【渗透实战系列】|23-某菠菜网站渗透实战

▶【渗透实战系列】|22-渗透系列之打击彩票站

▶【渗透实战系列】|21一次理财杀猪盘渗透测试案例

▶【渗透实战系列】|20-渗透直播网站

▶【渗透实战系列】|19-杀猪盘渗透测试

▶【渗透实战系列】|18-手动拿学校站点 得到上万人的信息（漏洞已提交）

▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell

▶【渗透实战系列】|16-裸聊APP渗透测试

▶【渗透实战系列】|15-博彩网站（APP）渗透的常见切入点

▶【渗透实战系列】|14-对诈骗（杀猪盘）网站的渗透测试

▶【渗透实战系列】|13-waf绕过拿下赌博网站

▶【渗透实战系列】|12 -渗透实战， 被骗4000花呗背后的骗局

▶【渗透实战系列】|11 – 赌博站人人得而诛之

▶【渗透实战系列】|10 – 记某色X商城支付逻辑漏洞的白嫖（修改价格提交订单）

▶【渗透实战系列】|9-对境外网站开展的一次web渗透测试（非常详细，适合打战练手）

▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程（详细到无语）

▶【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

▶【渗透实战系列】|6- BC杀猪盘渗透一条龙

▶【渗透实战系列】|5-记一次内衣网站渗透测试

▶【渗透实战系列】|4-看我如何拿下BC站的服务器

▶【渗透实战系列】|3-一次简单的渗透

▶【渗透实战系列】|2-记一次后门爆破到提权实战案例

▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战（getshell并获得全部数据）

长按-识别-关注

Hacking黑白红

一个专注信息安全技术的学习平台

点分享

点收藏

点点赞

点在看

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Hacking黑白红 hacking《一文读懂-快手12·22攻击事件复盘图解》