網路安全 基礎
什麼是 DDoS 攻擊?如何防範?
什麼是 DDoS?
DDoS(Distributed Denial of Service,分散式阻斷服務攻擊) 是指攻擊者利用大量受控制的電腦(殭屍網路/Botnet)同時向目標伺服器發送海量請求,導致伺服器資源耗盡、無法回應正常使用者的請求。
與 DoS 的差別
| DoS | DDoS | |
|---|---|---|
| 來源 | 單一來源 | 分散式多來源 |
| 規模 | 較小 | 極大 |
| 防禦難度 | 較易(封鎖 IP) | 困難(IP 分散) |
常見 DDoS 攻擊類型
1. 流量型攻擊(Volume-based)
用大量封包佔滿網路頻寬,例如 UDP Flood、ICMP Flood。
2. 協議型攻擊(Protocol Attacks)
利用協議弱點耗盡伺服器資源,例如 SYN Flood(TCP 三次握手未完成)。
3. 應用層攻擊(Application Layer)
模擬正常 HTTP 請求讓伺服器過載,例如 HTTP Flood,最難偵測。
防範方式
前端 / 架構層
- CDN(內容傳遞網路):如 Cloudflare,吸收並過濾惡意流量
- 負載均衡(Load Balancer):分散流量到多個伺服器
- Rate Limiting(速率限制):限制同一 IP 在單位時間內的請求數
後端 / 網路層
- 防火牆規則:封鎖可疑 IP 或異常流量模式
- IP 黑名單 / 信譽資料庫:自動封鎖已知惡意 IP
- CAPTCHA:在登入或敏感操作加入人機驗證
- Anycast 網路:將流量分散到多個地理節點
服務層
- DDoS 防護服務:AWS Shield、Cloudflare DDoS Protection、Akamai 等
- 彈性擴展(Auto Scaling):在流量暴增時自動擴充伺服器資源
總結
DDoS 無法完全預防,但透過 CDN、Rate Limiting、防護服務的組合,可以大幅降低影響。
✦ AI 模擬面試
輸入你的答案,AI 即時分析精準度與改進空間
登入後即可使用 AI 評分