2025-12-26 01:51:28 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文复盘快手直播遭1.7万僵尸账号饱和攻击事件，揭示黑灰产利用协议逆向、自动化刷量及审核超时机制击穿防线。攻击导致服务中断及市值蒸发，暴露传统防御滞后。结论强调黑产已迈入自动化时代，平台需升级智能对抗体系，强化协议防护与实时熔断能力。 综合评分： 86 文章分类： 安全大事件,应急响应,漏洞分析,安全运营,威胁情报

cover_image

1.7万“僵尸”账号的饱和攻击：复盘快手直播被黑产击穿的两小时

原创

hacking

Hacking黑白红

2025年12月24日 17:37 安徽

快手联合创始人、ceo 程一笑，1985年生，毕业于东北大学

本文字数：1947｜预计3分钟读完

数万违规直播同一秒涌入平台，将快手的系统防线瞬间击穿。这不是一次偶然的漏洞利用，而是针对整个直播行业安全软肋的教科书级攻击。

快手直播事件标志着黑灰产已经全面进入“自动化攻击”时代，而平台仍依赖传统人工防御模式，将难以抵御一轮轮的攻击。

文丨hacking

快手事件始末

2025年12月22日晚22时左右，当大量用户像往常一样滑动快手直播推荐页时，屏幕突然被大量色情，甚至血腥的违规内容。

这些内容并非零散出现，而是如潮水般从大量新注册或沉寂的僵尸账号中，在同一时间集体喷涌而出。

23日0点15分，快手无奈只能采取“无差别关停”整个直播频道的极端措施，才遏制了这场失控的蔓延。

事件时间线

12月22日18:00起：用户陆续报告直播异常 22:00-23:30：涉黄直播达高峰，多直播间人数破万 23日00:15左右：快手强制关闭直播功能，部分账号被封禁

直至 23 日凌晨 0 时 45 分左右，直播服务才逐步恢复正常，此次事故持续约 90 分钟。

受该事件影响，23 日港股开盘后，快手股价低开 3.30%，盘中跌幅一度扩大至 5.70%，市值蒸发约 164 亿港元。

快手 APP 直接冲到了苹果应用商店的免费榜第 2：

官方回应：网路攻击、谴责黑灰产

12月23日午间，快手（01024.HK）在港交所发布公告，总结3点：

1、公司快手应用的直播功能于2025年12月22日22:00左右遭到网路攻击，公司启动应预案，直播功能已逐步恢复正常服务。

2、快手应用的其他服务未受影响。公司始终严守合规底线，坚决反对任何违规内容及行为。

3、公司强烈谴责黑灰产的违法犯罪行为，已就上述事宜向公安机关报警并向相关部门报告。

#

公司将事件定性为“黑灰产网络攻击”。

但这场袭击在短短时间内造成的影响，远超一次普通的安全事件，被多家媒体称为 “中文互联网最大规模安全事故之一”。

公告中的黑灰产是啥？

黑灰产是黑色产业和灰色产业的统称，指的是利用技术手段进行违法犯罪活动的产业链。

图片来源：程序员鱼皮

#

攻击过程

第一步：战前准备——构建一支“僵尸军团”

任何大规模攻击都需要海量的执行单元。攻击者首先通过自动化“扫号”工具等手段，储备了大量可以使用的账号。

这些账号来源可能有两种：一是被盗取或购买的、已完成实名认证的“肉鸡”账号，它们拥有正常的开播权限，如同潜伏的士兵；二是攻击者通过黑产渠道获取大量手机号，甚至可能利用系统漏洞绕过或简化实名认证流程，批量注册的“新兵”。

据估算，此次参与攻击的账号规模可能高达1.7万至2万个，这批庞大的“僵尸军团”构成了后续所有攻击动作的“武器”基础。

第二步：发起冲锋——绕过前端，实现“静默”突防

攻击的发起方式并非模拟真人操作，而是采用了更底层的“协议级攻击”。

攻击者通过逆向工程，破解了快手直播的客户端与服务器之间的通信协议。这使他们能够编写出所谓的“协议机”，可以跳过所有App前端界面和交互，直接向服务器后端发送经过精心构造的“请求开播”数据包。

这种方式的可怕之处在于三点：

一是速度快，可实现毫秒级的海量账号并发开播；

二是隐蔽性强，没有常规的前端行为轨迹，平台难以通过常规的“异常用户行为”模型进行识别；

三是完全自动化，效率远超人工。这相当于攻击者掌握了直达指挥部的密电码，可以瞬间让所有“僵尸”账号进入战斗状态。

第三步：饱和打击——利用系统延迟，抢占“生存窗口”

当1.7万以上的直播间几乎在同一瞬间被非法开启时，攻击进入了最关键的“窗口期”争夺战。平台的安全审核机制通常是“异步”的：发现违规 → 判定 → 执行封禁。攻击者正是利用了这个时间差，发动了“饱和式冲击”。

海量的违规直播请求瞬间涌入，可能占满了平台的安全围栏请求通道和封禁接口。据分析，更致命的一击可能在于：攻击者利用平台为保障用户体验而设置的请求超时豁免机制。

具体来说，如果平台对直播流的内容安全检测因并发量过大而超时，系统可能会暂时“放行”这些内容，以免影响正常直播。攻击者正是通过精确计算并发量，有意制造审核系统的瞬时拥堵，使得大量违规内容因“审核超时”而被豁免，从而获得了宝贵的扩散时间，形成“封禁速度远不及新增速度”的恶性循环。

第四步：污染扩散——刷热与推荐，实现“降维”传播

最后一步，攻击者旨在将违规内容的破坏力最大化。他们利用自动化脚本，对已经开播的违规直播间进行刷量操作（如刷高观看人数、点赞和互动），人为制造出“热门”假象。

快手等平台的推荐算法通常基于热度进行分布式流量分发。一个新直播会先进入小流量池测试，如果互动数据好，则会被推送到更大的推荐池。攻击者正是利用了这一点，让大量违规直播间同时获得虚假热度，从而“骗过”算法，使其进入更大的推荐流量池，获得指数级增长的曝光。

这种操作不仅让违规内容被更多用户看到，更重要的是，它瞬间耗尽了平台的AI审核算力，使原本就因并发攻击而脆弱的审核系统彻底阻塞，导致原本就存在的“异步审核”时间差被无限放大，防御体系在关键时刻宣告失效。

这四步，从资源储备、技术突防，到战术利用、算法污染，展现的是一套高度组织化、技术化且深谙平台运行逻辑的自动化攻击链。它不再是小打小闹的漏洞利用，而是对平台核心风控与内容治理体系的“降维打击”。

攻击者是谁？

尽管快手已报警处理，但截至目前，并无具体组织或个人宣称对此次攻击负责。安全界普遍共识是，这是由高度组织化、技术化的黑灰产团伙发动的攻击。

他们的目标可能与以往不同：并非单纯的流量变现或诈骗，更像是为了 “污染生态”或“展示能力” ，试图通过瘫痪核心功能来造成最大的社会影响和商业损失。攻击被360安全专家称为 “史无前例的教科书攻击”

奇安信安全专家汪列军：

攻击核心原因在于黑灰产已全面迈入“自动化攻击”时代。黑客借助自动化工具批量注册、操控僵尸号，实现违规内容的秒级发布与扩散，这种规模化攻击完全超出人工审核的应对极限。

#

传统人工审核存在天然滞后性，面对每秒数十条的违规内容洪流，往往陷入“封禁不及新增”的被动局面，即便增派人手也难以填补攻防效率差。

#

360数字安全集团专家：

这极有可能是一场有组织、有预谋的外部黑客攻击。从技术路径来看，攻击者可能利用了直播推流接口的底层漏洞，绕过了平台的实名认证与内容审核链路。

#

这种大规模、高频次的黑产渗透，暴露出快手在应对极端安全攻击时的风控防御体系存在明显漏洞。

总结

此次事件为整个互联网行业敲响了警钟：当黑灰产已经迈入工业化、智能化时代时，平台的防御思想必须从“人工巡逻”升级为“智能对抗”，从“事后封禁”转变为“实时感知与熔断”。加固账号安全、强化协议层防护、优化弹性审核架构、构建异常流量实时对抗系统，已成为关乎平台生存的必修课

#

网络靶场思维导图

资料获取

回复“电子书”获取web渗透、CTF电子书:

回复“视频教程”获取渗透测试视频教程;

回复“内网书籍”获取内网学习书籍;

回复“CTF工具”获取渗透、CTF全套工具;

回复“内网渗透”；获取内网渗透资料;

回复“护网”；获取护网学习资料 ;

回复“python”,获取python视频教程；

回复“java”，获取Java视频教程;

回复“go”，获取go视频教程

渗透实战系列

▶【渗透实战系列】|53-记一次3万多赏金的XSS漏洞挖掘经历

▶【渗透实战系列】|52-记一次”91″站点渗透

▶【渗透实战系列】51|- 一次BC站点的GetShell过程

▶【渗透实战系列】50|- Log4j打点后与管理员斗智斗勇

▶【渗透实战系列】49|-实战某高校的一次挖矿病毒的应急处置

▶【渗透实战系列】|48-一次内网渗透

▶【渗透实战系列】|47-记一次对某鱼骗子卖家的溯源

▶【渗透实战系列】|46-渗透测试：从Web到内网

▶【渗透实战系列】|45-记一次渗透实战-代码审计到getshell

▶【渗透实战系列】|44-记一次授权渗透实战（过程曲折，Java getshell）

▶【渗透实战系列】|43-某次通用型漏洞挖掘思路分享

▶【渗透实战系列】|42-防范诈骗，记一次帮助粉丝渗透黑入某盘诈骗的实战

▶【渗透实战系列】|41-记一次色*情app渗透测试

▶【渗透实战系列】|40-APP渗透测试步骤（环境、代理、抓包挖洞）

▶【渗透实战系列】|39-BC渗透的常见切入点（总结）

▶【渗透实战系列】|38-对某色情直播渗透

▶【渗透实战系列】|37-6年级小学生把学校的网站给搞了！

▶【渗透实战系列】|36-一次bc推广渗透实战

▶【渗透实战系列】|35-旁站信息泄露的dedecms站点渗透

▶【渗透实战系列】|34-如何用渗透思路分析网贷诈骗链

▶【渗透实战系列】|33-App渗透 ,由sql注入、绕过人脸识别、成功登录APP

▶【渗透实战系列】|32-FOFA寻找漏洞，绕过杀软拿下目标站

▶【渗透实战系列】|31-记一次对学校的渗透测试

▶【渗透实战系列】|30-从SQL注入渗透内网（渗透的本质就是信息搜集）

▶【渗透实战系列】|29-实战|对某勒索APP的Getshell

▶【渗透实战系列】|28-我是如何拿下BC站的服务器

▶【渗透实战系列】|27-对钓鱼诈骗网站的渗透测试（成功获取管理员真实IP）

▶【渗透实战系列】|26一记某cms审计过程(步骤详细)

▶【渗透实战系列】|25一次从 APP 逆向到 Getshell 的过程

▶【渗透实战系列】|24-针对CMS的SQL注入漏洞的代码审计思路和方法

▶【渗透实战系列】|23-某菠菜网站渗透实战

▶【渗透实战系列】|22-渗透系列之打击彩票站

▶【渗透实战系列】|21一次理财杀猪盘渗透测试案例

▶【渗透实战系列】|20-渗透直播网站

▶【渗透实战系列】|19-杀猪盘渗透测试

▶【渗透实战系列】|18-手动拿学校站点得到上万人的信息（漏洞已提交）

▶【渗透实战系列】|17-巧用fofa对目标网站进行getshell

▶【渗透实战系列】|16-裸聊APP渗透测试

▶【渗透实战系列】|15-博彩网站（APP）渗透的常见切入点

▶【渗透实战系列】|14-对诈骗（杀猪盘）网站的渗透测试

▶【渗透实战系列】|13-waf绕过拿下赌博网站

▶【渗透实战系列】|12 -渗透实战，被骗4000花呗背后的骗局

▶【渗透实战系列】|11 – 赌博站人人得而诛之

▶【渗透实战系列】|10 – 记某色X商城支付逻辑漏洞的白嫖（修改价格提交订单）

▶【渗透实战系列】|9-对境外网站开展的一次web渗透测试（非常详细，适合打战练手）

▶【渗透实战系列】|8-记一次渗透测试从XSS到Getshell过程（详细到无语）

▶【渗透实战系列】|7-记一次理财杀猪盘渗透测试案例

▶【渗透实战系列】|6- BC杀猪盘渗透一条龙

▶【渗透实战系列】|5-记一次内衣网站渗透测试

▶【渗透实战系列】|4-看我如何拿下BC站的服务器

▶【渗透实战系列】|3-一次简单的渗透

▶【渗透实战系列】|2-记一次后门爆破到提权实战案例

▶【渗透实战系列】|1一次对跨境赌博类APP的渗透实战（getshell并获得全部数据）

长按-识别-关注

Hacking黑白红

一个专注信息安全技术的学习平台

点分享

点收藏

点点赞

点在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Hacking黑白红 hacking《1.7万“僵尸”账号的饱和攻击：复盘快手直播被黑产击穿的两小时》