DDoS 攻擊完整解析：L3/L4/L7 攻擊類型、原理與真實案例【2025】

2016 年 10 月 21 日，美國半個網路幾乎癱瘓。Twitter、Netflix、Spotify、GitHub 全部掛掉。原因？一場針對 DNS 服務商 Dyn 的 DDoS 攻擊，流量高達 1.2 Tbps。

這場攻擊的發動者不是頂尖駭客組織，而是一群用 Mirai 殭屍網路的業餘駭客。他們控制了數十萬台網路攝影機和路由器，就造成了網路史上最大規模的攻擊之一。

這篇文章會深入解析 DDoS 攻擊的原理和各種類型。只有了解攻擊手法，才能建立有效的防禦策略。

DDoS 攻擊的歷史與演進

從 DoS 到 DDoS 的演變

DDoS 攻擊的歷史可以追溯到 1990 年代。

1996 年：第一個公開記載的 DoS 攻擊，針對紐約的 ISP Panix。

1999 年：首次大規模 DDoS 攻擊，一名 15 歲的加拿大少年「Mafiaboy」攻擊了 Yahoo、eBay、CNN 等網站。

2000 年代：殭屍網路（Botnet）開始興起，DDoS 攻擊規模急速成長。

2010 年代：反射放大攻擊出現，攻擊規模突破 Tbps 等級。

2020 年代：IoT 設備成為主要攻擊來源，攻擊手法更加多元。

從單點攻擊到分散式攻擊，從 Mbps 到 Tbps，DDoS 攻擊的演進速度驚人。

DDoS 攻擊規模的成長趨勢

近年 DDoS 攻擊的規模不斷刷新紀錄：

攻擊規模每兩年就翻倍成長。更令人擔憂的是，發動攻擊的門檻越來越低。在暗網上，只要幾十美元就能購買 DDoS 攻擊服務。

想了解完整的 DDoS 防護方案？請參考我們的 DDoS 攻擊與防護完整指南。

DDoS 攻擊原理圖解

殭屍網路（Botnet）運作機制

殭屍網路是 DDoS 攻擊的基礎設施。它是由大量被駭客控制的設備組成的網路。

殭屍網路的建立過程：

1. 感染階段

   • 駭客透過釣魚郵件、惡意網站、軟體漏洞散布惡意程式
   • 目標包括電腦、手機、路由器、網路攝影機、智慧家電

2. 控制階段

   • 被感染的設備會連回駭客的控制伺服器（C&C Server）
   • 設備擁有者通常不會發現異常

3. 待命階段

   • 殭屍設備平時正常運作
   • 等待駭客下達攻擊指令

4. 攻擊階段

   • 駭客透過 C&C 伺服器同時啟動所有殭屍設備
   • 數萬到數百萬設備同時向目標發送請求

著名的殭屍網路：

• Mirai：專門感染 IoT 設備，曾控制超過 60 萬台設備
• Emotet：原為銀行木馬，後來轉型為殭屍網路出租服務
• Mēris：2021 年出現，曾發動每秒 2,180 萬次請求的攻擊

攻擊流量如何癱瘓目標

DDoS 攻擊癱瘓目標的方式有三種：

1. 消耗頻寬

如果你的網路頻寬是 1 Gbps，駭客發送 10 Gbps 的流量過來，正常流量根本進不來。

2. 耗盡連線資源

伺服器能同時處理的連線數有限（通常幾萬到幾十萬）。攻擊者建立大量假連線，真正的用戶就連不進來。

3. 消耗運算資源

針對網站上最耗資源的功能（如搜尋、報表生成）發送大量請求，讓 CPU 和記憶體不堪負荷。

不同類型的攻擊會針對不同資源。接下來詳細介紹各種攻擊類型。

L3/L4 網路層攻擊詳解

L3（網路層）和 L4（傳輸層）攻擊的目標是消耗頻寬和連線資源。這類攻擊特點是流量大、容易偵測，但也最難防禦。

UDP Flood 攻擊

UDP（User Datagram Protocol）是一種不需要建立連線的通訊協定。

攻擊原理：

攻擊者向目標的隨機連接埠發送大量 UDP 封包。目標伺服器必須：

1. 檢查該連接埠是否有服務在監聽
2. 如果沒有，發送 ICMP 「連接埠不可達」回應

當每秒收到數百萬個 UDP 封包時，伺服器的資源很快就會耗盡。

特徵：

• 封包大小通常在 64-1500 bytes
• 來源 IP 通常是偽造的
• 可以達到非常高的 pps（每秒封包數）

防禦方式：

• 在邊界路由器設定 Rate Limiting
• 使用防火牆過濾不必要的 UDP 流量
• 部署專用的 DDoS 清洗設備

SYN Flood 攻擊

SYN Flood 利用 TCP 三向交握機制的漏洞。

TCP 三向交握：

1. 客戶端發送 SYN
2. 伺服器回應 SYN-ACK
3. 客戶端發送 ACK，連線建立

攻擊原理：

攻擊者只發送 SYN，但不完成第三步。伺服器會：

1. 為每個 SYN 請求分配記憶體
2. 等待 ACK 回應（通常等 75 秒）
3. 連線佇列被塞滿後，就無法接受新連線

特徵：

• 半開連線（Half-open connection）大量增加
• 來源 IP 通常是偽造的
• 攻擊成本低，效果顯著

防禦方式：

• 啟用 SYN Cookie
• 縮短 SYN 等待逾時時間
• 增加半開連線佇列大小
• 使用防火牆的 SYN Proxy 功能

ICMP Flood（Ping Flood）

ICMP Flood 是最簡單的攻擊類型之一。

攻擊原理：

攻擊者發送大量 ICMP Echo Request（ping），消耗目標的頻寬和處理能力。

Smurf 攻擊（ICMP Flood 的變種）：

攻擊者將來源 IP 偽造成目標 IP，然後向廣播位址發送 ICMP 請求。整個子網路的設備都會把回應送到目標，產生放大效果。

防禦方式：

• 在邊界阻擋不必要的 ICMP 流量
• 限制 ICMP 回應速率
• 關閉對廣播位址的回應

反射放大攻擊

反射放大攻擊是目前威力最大的攻擊類型。

攻擊原理：

1. 攻擊者偽造來源 IP（填入目標的 IP）
2. 向公開的 DNS/NTP/Memcached 伺服器發送請求
3. 這些伺服器把回應送到目標
4. 回應通常比請求大很多倍

常見的放大協定：

2018 年 GitHub 攻擊就是利用 Memcached 放大，產生了 1.35 Tbps 的流量。

防禦方式：

• 使用 BCP38/BCP84 防止 IP 偽造
• 確保自己的伺服器不會成為反射器
• 部署能辨識放大攻擊的防護服務

L7 應用層攻擊詳解

L7 攻擊針對應用層（HTTP/HTTPS），比網路層攻擊更難防禦。因為每個請求看起來都像正常的網頁瀏覽。

HTTP Flood 攻擊

HTTP Flood 是最常見的應用層攻擊。

攻擊原理：

攻擊者發送大量看似正常的 HTTP 請求。和真正用戶的請求很難區分。

兩種類型：

1. GET Flood

   • 大量請求網頁、圖片、CSS、JS 檔案
   • 目標是消耗伺服器的 I/O 和 CPU

2. POST Flood

   • 大量提交表單、上傳檔案
   • 每個請求都需要後端處理，更耗資源

特徵：

• 請求看起來合法
• 來源 IP 是真實的（無法偽造）
• 低頻寬但高效果

防禦方式：

• 部署 WAF 分析請求模式
• 使用 CAPTCHA 驗證
• 實施速率限制
• 行為分析辨識機器人

Slowloris 攻擊

Slowloris 是一種「慢速攻擊」，用很少的資源就能癱瘓伺服器。

攻擊原理：

1. 建立 HTTP 連線
2. 持續發送不完整的請求（例如只發標頭，不發結尾）
3. 伺服器會保持連線等待完整請求
4. 連線數達到上限後，無法服務新用戶

特徵：

• 頻寬需求極低
• 一台電腦就能發動有效攻擊
• 針對 Apache 等線程式伺服器特別有效

防禦方式：

• 設定連線逾時時間
• 限制單一 IP 連線數
• 使用 Nginx（事件驅動架構較不受影響）
• 部署反向代理

CC 攻擊（Challenge Collapsar）

CC 攻擊針對網站上最耗資源的功能。

攻擊原理：

1. 找出網站上處理最慢的頁面（如搜尋、報表）
2. 大量請求這些頁面
3. 後端資料庫和應用伺服器不堪負荷

範例：

• 電商網站的商品搜尋（每次搜尋都查詢資料庫）
• 論壇的全文搜尋
• 產生 PDF 報表的功能

特徵：

• 請求數量可能不多
• 但每個請求消耗大量資源
• 難以和正常使用區分

防禦方式：

• 為耗資源功能加上快取
• 限制搜尋頻率
• 優化資料庫查詢
• 使用 CAPTCHA 保護

為何 L7 攻擊更難防禦

L7 攻擊之所以難防，有幾個原因：

1. 請求看起來合法：無法簡單用流量大小判斷
2. 來源 IP 真實：無法用 IP 封鎖（可能誤封真用戶）
3. HTTPS 加密：需要解密才能分析內容
4. 模式多變：攻擊者可以輕易改變行為模式

有效防禦 L7 攻擊需要結合 WAF、行為分析、機器學習等技術。

了解攻擊類型後，下一步是學習如何防禦。請參考 DDoS 防禦教學：從基礎設定到進階防護。

你的網站能抵擋這樣的攻擊嗎？

看完這些攻擊手法，你可能會想：「我的網站真的安全嗎？」

現實是，大多數企業在遭受攻擊前都不知道自己的防禦有多脆弱。

預約免費資安評估，讓我們幫你：

• 評估現有架構的抗攻擊能力
• 識別潛在的安全漏洞
• 推薦適合的防護方案

知名 DDoS 攻擊事件分析

從真實案例中，我們可以學到更多。

2016 年 Dyn DNS 攻擊

事件概述：

2016 年 10 月 21 日，DNS 服務商 Dyn 遭受大規模 DDoS 攻擊。

攻擊規模：

• 流量高達 1.2 Tbps
• 持續約 11 小時
• 使用 Mirai 殭屍網路

影響範圍：

• Twitter、Netflix、Spotify、GitHub、Reddit、CNN 等數十個網站無法訪問
• 影響美國東岸大部分地區
• 估計造成數億美元損失

教訓：

• IoT 設備的安全性極差
• DNS 是關鍵基礎設施，應有備援
• 單一服務商的風險集中問題

2018 年 GitHub 攻擊

事件概述：

2018 年 2 月 28 日，GitHub 遭受有史以來最大的 DDoS 攻擊。

攻擊規模：

• 峰值流量 1.35 Tbps
• 使用 Memcached 放大攻擊
• 攻擊持續約 20 分鐘

防禦過程：

• GitHub 在 10 分鐘內將流量導向 Akamai Prolexic
• Akamai 成功清洗所有攻擊流量
• 網站在 5 分鐘內恢復

教訓：

• 即使是技術巨頭也可能遭受攻擊
• 有準備的防禦可以快速恢復
• Memcached 放大倍數驚人（51,000x）

近年台灣 DDoS 攻擊事件

台灣也經常是 DDoS 攻擊的目標：

2022 年 8 月：裴洛西訪台期間，多個政府網站和民間企業遭受大規模 DDoS 攻擊。

2024 年：台灣金融機構和電商平台持續遭受攻擊，部分與國際政治情勢相關。

常見攻擊來源：

• 來自中國大陸的 IP（可能是跳板）
• 利用海外雲端服務發動
• 混合使用多種攻擊手法

台灣企業面臨的威脅不容小覷。需要防護服務的話，可以參考 DDoS 防護服務比較：Cloudflare、中華電信、AWS Shield 完整評測。

DDoS 攻擊的法律後果

發動 DDoS 攻擊是嚴重的犯罪行為。

台灣法律規範

在台灣，DDoS 攻擊可能觸犯：

刑法第 360 條（妨害電腦使用罪）：

無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

刑法第 359 條（破壞電磁紀錄罪）：

無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

此外，如果造成企業損失，還可能面臨民事賠償。

國際案例

英國少年入獄案（2019）：

一名 19 歲英國少年因發動 DDoS 攻擊，被判處 32 個月監禁。

美國 DDoS-for-hire 掃蕩（2022）：

美國 FBI 一次掃蕩了 48 個 DDoS 出租服務網站，逮捕多名經營者。

重點：

• 即使是「只是測試」也可能觸法
• 購買 DDoS 服務攻擊他人同樣違法
• 全球執法合作越來越緊密

了解威脅，才能有效防禦

DDoS 攻擊的手法不斷演進，但基本原理不變。了解這些攻擊類型，你就能：

• 評估自己面臨的風險
• 選擇正確的防禦策略
• 在遭受攻擊時做出正確判斷

下一步建議：

1. 檢視你的網站架構，了解可能的弱點
2. 評估目前的頻寬和伺服器是否足夠
3. 考慮部署 CDN 或專業 DDoS 防護服務

延伸閱讀：

• 回到核心概念：DDoS 攻擊與防護完整指南
• 學習如何防禦：DDoS 防禦教學：從基礎設定到進階防護
• 選擇防護服務：DDoS 防護服務比較：Cloudflare、中華電信、AWS Shield 完整評測

不確定自己的防禦是否足夠？預約免費資安評估，讓專家幫你找出漏洞。

參考資料

1. Cloudflare - Famous DDoS Attacks
2. AWS - DDoS Attack Types
3. OWASP - Denial of Service
4. Akamai - State of the Internet Report
5. 刑法第三十六章 妨害電腦使用罪