我想知道的是，当发生 ddos​​ 攻击时，谷歌分析会显示什么样的行为？有什么理论吗？

我的理论是，有效的 DDoS 平台/脚本不会包含任何重量级的 JavaScript 引擎，因此 DDoS 事件根本不会出现在 Google Analytics 中。

DDoS 攻击的目的是用大量请求淹没服务器。在服务器发回的响应中用于评估 JavaScript 的任何 CPU 周期都是可以更好地用于向服务器发出更多请求的周期。我完全希望正确执行的 DDoS 攻击不会浪费时间解析来自服务器的响应，甚至不会从底层套接字读取它，更不用说解释和执行可能嵌入标记或获取脚本和其他资源的 JavaScript来自目标服务器以外的域。

当然，这并不排除使用评估嵌入式 JavaScript 的 Web 框架和库实现异常幼稚的 DDoS 攻击的可能性。这种攻击不会(或者更确切地说，如果您正确实现了服务器代码，则不会)非常有效，但它可能会导致 Google Analytics 流量激增。