分散式拒絕服務攻擊（Distributed Denial of Service, DDoS）是針對「可用性」的一類攻擊，目的在於使目標服務或網路資源無法正常對外提供服務。這類攻擊經常造成網站、API 或線上服務中斷，對企業營運與使用者體驗造成直接且嚴重的影響。

⸻

一、DDoS 的基本原理

攻擊者透過控制大量受害裝置（被植入惡意程式的「殭屍網路」或被濫用的公開伺服器）同時向目標發送大量流量或消耗資源的請求，超出目標或其上下游網路的處理能力，導致服務不可用。
重點：攻擊靠的是「量」或「資源耗盡」，而非單一漏洞利用。

⸻

二、常見類型（以攻擊面與效果分類）
1. Volumetric（體積型）
• 用大量流量飽和目標或其網路（例如 UDP 洪水、ICMP 洪水）。
• 目標是佔滿頻寬或路由器/交換器的處理能力。
2. Protocol（協定/耗盡型）
• 利用協定實作的弱點或狀態消耗來耗盡伺服器資源（例如 SYN flood、TCP state exhaustion、UDP fragmentation）。
• 影響中間設備或目標主機的協定狀態表。
3. Application（應用層型）
• 針對具體應用資源發送看似合法的高開銷請求（例如大量複雜 SQL 查詢或慢速 POST），消耗後端資源。
• 難以以流量門檻過濾，因為請求看起來像正常用戶的行為。

⸻

三、攻擊偵測與指標
• 異常流量激增：短時間內流入頻寬或連線數遠高於平時基準。
• 來源分散但有模式：來自大量不同 IP（分散式）或同一國家/ASN 的非正常請求。
• 服務回應延遲上升或錯誤回傳增多：高 5xx/4xx 回應率、連線超時。
• 系統指標異常：CPU、連線數、socket 狀態表飽和，或網路設備日誌大量異常。

建立正常流量基準（baseline）與持續監控是早期偵測的關鍵。

⸻

四、主要防禦與緩解措施

架構層（預防）
• 容量冗餘與 Anycast：透過 Anycast 與多點分散架構，把流量分散到多個 POP（Point of Presence），增加攻擊承受力。
• 使用 CDN 與流量清洗服務：把公開流量導至 CDN 或 DDoS 清洗服務（scrubbing center），讓攻擊流量在邊緣被吸收/過濾。
• Rate limiting / Connection limiting：對短時間大量請求做速率限制與連線數上限。

協定層與主機層
• SYN cookies、TCP stack 強化：對抗 SYN flood 等協定耗盡型攻擊。
• 防火牆 / ACL / 黑白名單：封鎖惡意 IP/網段（注意：容易被偽造或大量變換）。
• WAF（Web Application Firewall）：針對應用層攻擊過濾有害請求模式（如大量相同 API 路徑、異常 User-Agent、過量請求參數等）。

運營與應變
• 緊急流量切換策略：在被攻擊時，能快速把流量導向清洗節點或維持簡化服務。
• 聯絡 ISP / 上游供應商：大型攻擊常需上游協助做流量黑洞或在上游過濾。
• 分級降級策略（graceful degradation）：當攻擊發生，提供最小可用功能（例如只保留靜態頁面或 API 限流）以維持關鍵服務。

⸻

五、實務運作上的建議（企業角度）
1. 事先準備並演練 incident response plan：明確誰負責聯絡 ISP、清洗服務供應商、內部通告與法務。
2. 採用混合式防護：邊緣（CDN）、上游（ISP）與應用層（WAF）共同防守，單一措施容易被繞過。
3. 設定與維護監控與告警：網路、應用、資源使用量需有自動告警門檻與快速回報流程。
4. 保留日誌與封包樣本以利鑑識：攻擊後的取證能幫助判斷來源、手法，並做法律或合規通報。
5. 合約事先談好 SLA 與緊急支援：與 CDN / DDoS 清洗服務簽訂能快速啟動的支援條款。

⸻

六、個人或小型服務的應對（合理成本內）
• 使用可信的 CDN（多數都有基本 DDoS 緩解功能）。
• 啟用雲端平台的自動伸縮機制與 WAF 規則。
• 設定速率限制和簡單驗證（例如 CAPTCHA）在高風險入口處。
• 保持系統與網路設備更新、限制暴露在公網的服務端口。

⸻

七、事後檢討（Post-attack）
• 分析攻擊向量、來源與影響範圍。
• 修補被濫用的弱點與調整網路架構。
• 更新應變計劃與加強監控基線。
• 若有個資或合規影響，依法規完成通報與補救程序。

⸻

結語

DDoS 攻擊是對「可用性」的直接打擊，防禦不僅是技術配置，更包含事前的架構設計、供應商合約與演練流程。面對大型攻擊，單靠主機或單一設備幾乎無法抵擋；有效的防護是分散、檢測與快速響應的組合。