遭到分散式阻斷服務 (DDoS) 攻擊怎麼辦？5招防禦/預防措施一次看

遭到 DDoS 攻擊怎麼辦？DDoS 攻擊常見的對象及類型有哪些？如何偵測網站遭遇 DDoS 攻擊，以及會有哪些徵兆？DDoS 攻擊會癱瘓網站正常的運作，使企業遭受巨大損失，本文將整理 5 個防禦 DDoS 攻擊的方法，讓企業了解如何事前防範以及當遇到攻擊時該如何抵禦應變！

分散式阻斷服務 (DDoS) 攻擊指的是什麼？定義是？

DDoS 攻擊英文全名為 Distributed Denial-of-Service Attack，意思是分散式阻斷服務攻擊。DDoS 攻擊主要以製造大量網路流量惡意癱瘓使用者的基礎設施，使其資源耗盡並導致網站無法正常運作或服務完全下線，從而阻斷目標伺服器、網站的正常流量。為確保企業網路正常維運，就必須了解 DDoS 攻擊常見手法以及防禦手段。

Dos 與 DDoS 有什麼分別？

Dos 攻擊英文全名為 Denial-of-Service Attack，意思是阻斷服務攻擊。Dos 攻擊透過單一的電腦，以一對一的方式製造大量惡意的流量使目標伺服器過載，進而讓網站癱瘓、無法正常使用，完成阻斷正常訪問流量的目標。

顧名思義，Dos 攻擊和 DDos 攻擊最大的分別是「惡意攻擊中的連線數量」。

• 阻斷服務 Dos 攻擊使用單一連線，亦即只透過單一機台進行惡意攻擊，形式上較為簡單，因此也較容易被防禦。

• 「分散式」阻斷服務 DDoS 攻擊使用多個連線來實施惡意攻擊，透過各種設定可以從多台電腦同時或分批進行，形式上更為複雜、多變，因此就現況來說 DDos 攻擊比 Dos 來得普遍。

DDoS 攻擊類型

從開放式系統互聯模型 OSI 七層模型來看，DDoS 攻擊主要以第 3 層網路層、第 4 層傳輸層、第 7 層應用層為目標，以下是 OSI 模型這七個階層在通訊的主要工作內容，由外到內列出於下：

Layer	型態	工作內容	DDoS 攻擊方式
Application 應用層	應用程序層	提供網路服務如HTTP、FTP、SMTP等。負責處理應用程式的資料傳輸。	HTTP Flood、DNS Flood、Slowloris Attack。這些攻擊試圖消耗應用層資源，讓伺服器無法處理合法請求。
Presentation Layer 展示層	資料格式層	負責資料的格式化、加密和解密。	攻擊者可能利用加密的漏洞或引入大量不正常格式的資料來消耗資源。
Session Layer 工作階段層	會話層	管理應用程式之間的會話（如建立、維護、同步和終止會話）。	不適用
Transport Layer 傳輸層	傳輸層	提供端到端的通信管理，如錯誤檢測和流量控制。	SYN Flood、UDP Flood。這些攻擊旨在消耗傳輸層資源，使其無法處理合法流量。
Network Layer 網路層	網路層	負責資料包的路由選擇和轉發。	ICMP Flood、Smurf Attack。這些攻擊通過大量的ICMP請求或其他方法來消耗網路層資源。
Data Link Layer 資料連結層	資料連結層	負責物理地址的訪問控制和錯誤檢測。	不適用
Physical Layer 實體層	實體層	負責傳輸原始的位元流，並處理實體介質的介面。	不適用

第3 ~ 4層基礎設施層

L3、L4主要攻擊目的在於使用大量的的請求封包癱瘓網路設備，造成連線異常、無法訪問相關服務，發動成本一般較低，甚至市面有已經有DDoS as a Service的服務，面對此類攻擊企業不可不慎，因為針對網路設備的癱瘓，往往會影響的不只是單一服務，舉例來說防火牆癱瘓的情況下，VPN、網頁、郵件伺服器這類會面向外網的服務就都有可能中斷。

第7層應用程式層

L7主要目的則是針對性地對網頁或系統漏洞進行攻擊，並且竊取應用資料或是奪取控制權，進而遠端操作網頁進行內容置換或入侵企業內網等針對性攻擊，若被攻擊成功會造成的傷害會比網路層的傷害更大，因為一但入侵成功後，就等於可以遠程操作企業的電腦，要植入木馬、勒索病毒或是橫向移動到其他內網機器中都是有機會達成的。

DDoS 攻擊常見的對象及種類有哪些？

一般來說，政府相關單位、新聞媒體業、金融機構、知名品牌企業等，因擁有較多重要的機敏資料或個資，使得這類型的網站較容易成為 DDoS 的攻擊目標。而當企業遭受 DDoS 攻擊時，不僅可能需支付龐大的勒索贖金，也會因為網站無法運作造成商業損失並影響商譽，甚至還須承擔法律責任。因此，企業有必要採取防護措施，才能減低阻斷攻擊所帶來的衝擊。

而 DDoS 攻擊的種類有很多形式，常見的主要有以下 3 種類型：

（1.）巨流量攻擊

巨流量攻擊（Volumetric Attacks）是透過使用僵屍網路來消耗目標和網際網路之間的所有可用頻寬，這種攻擊的主要目的是造成網路擁塞，使合法用戶無法存取資源。以下是兩種具體的攻擊手法：

1. DNS 放大攻擊（DNS Amplification Attack）：攻擊者利用開放的DNS伺服器發送小的查詢請求，這些查詢會產生更大的響應包，然後這些響應包被發送到目標地址，從而放大攻擊流量。
2. UDP 泛洪攻擊（UDP Flood Attack）：攻擊者向目標伺服器發送大量的UDP封包，使伺服器忙於處理無效封包，從而耗盡其資源。

（2.）應用程式層攻擊

應用程式層攻擊（Application Layer Attacks）是指以每秒請求數為單位計算，針對目標伺服器產生大量的封包或請求，使其消耗大量資源以致系統癱瘓。以下是兩種具體的攻擊手法：

1. HTTP 泛洪攻擊（HTTP Flood Attack）： 攻擊者模擬大量合法的HTTP請求（GET或POST）來耗盡目標伺服器的資源，這種攻擊很難區分正常流量和攻擊流量。
2. Slowloris 攻擊：攻擊者發送部分HTTP請求，使伺服器資源處於等待狀態，以致於伺服器的最大連接數被耗盡，阻止新的連接請求。

（3.）通訊協定攻擊

通訊協定攻擊（Protocol Attacks），又稱作狀態耗盡攻擊，是利用通訊協定第 3 層和第 4 層的弱點，使目標無法存取，並佔用網路或應用程式伺服器，造成服務被阻斷。以下是兩種具體的攻擊手法：

1. SYN 泛洪攻擊（SYN Flood Attack）： 攻擊者發送大量的SYN請求封包，但不完成TCP握手過程，這會導致伺服器資源耗盡，無法處理新的連接請求。
2. ICMP 泛洪攻擊（ICMP Flood Attack）： 攻擊者發送大量的ICMP Echo請求（ping）封包，導致目標系統耗盡資源，無法正常處理合法流量。

如何偵測網站遭遇 DDoS 攻擊？有何徵兆？ 

當網站遭遇 DDoS 攻擊時，以下幾點徵兆可做為偵測依據。

• 網路流量莫名大幅提升，且來自同一個 IP 位址或範圍。

• 無法存取特定網站或任何網站。

• 網路效能變得異常緩慢。

• 網站或服務無法使用或遭中斷下線。

 

防禦 DDoS 攻擊的 5 個方法

DDos 攻擊難以抵禦的主要原因，是它會將惡意流量偽裝成正常流量，且難以追蹤來源。因此，企業須了解當遇到攻擊時該如何防禦，才能將傷害減至最低。

1. 使用反向代理服務

讓攻擊流量先通過反向代理伺服器，再轉發到目標伺服器，讓目標伺服器不需顯示真實 IP 位址，使攻擊者難以針對性攻擊。

2. 優化網站架構和代碼

提高網站性能，使其能夠承受更高的流量和請求，當遭受 DDos 攻擊時可爭取危機處理及應對時間。

3. 設置 DDoS 攻擊防禦系統

全方位配置防禦機制以阻擋 DDOS 攻擊，在攻擊發生時封鎖攻擊源 IP 位址，或限制相同 IP 位址的訪問次數。

4. 配置防火牆

防火牆針對的是資源消耗類型的 DDoS 攻擊，透過限流規則的設置，過濾並限制每個 IP 位址的最大請求數量，可防止單一 IP 位址的攻擊。

5. 使用 CDN 加速技術

將網站內容快取到全球節點，透過 CDN 流量分流配置可分散異常流量和請求，拖延 DDoS 阻斷服務攻擊進入目標伺服器的時間，可避免或降低遭遇攻擊的威脅。

如何預防遭受 DDos 攻擊？

企業若不幸遭受 DDoS 阻斷服務攻擊，往往使企業損失慘重，不僅可能要面對巨額的勒索贖金，還會因網站服務停擺導致商業損失，並使客戶對企業產生負面印象。因此，做好有效的事前防範，強化資安防禦措施，將可使企業遠離攻擊威脅。

1. 定期更新防毒軟體和操作系統： 

定期更新病毒資料庫及軟體版本，才能防範新的攻擊手法，以避免被感染病毒成為殭屍網路的一員。 

2. 做好網站資料備份： 

隨時做好資料備份及備援，以保障企業資料安全性。 

3. 設置安全的網站帳號和密碼： 

創建高強度的安全密碼可增加破解的難度，能防止被攻擊者入侵並利用它們進行 DDoS 攻擊。 

4. 為網站導入 DDoS 攻擊防護機制： 

定期進行漏洞掃描和弱點檢測，驗證當遭受 DDoS 攻擊時系統及流量的耐受程度，以便及時修補安全漏洞。 

5. 了解 DDoS 攻擊的最新發展趨勢和技術： 

持續改善應變措施、提高對 DDoS 攻擊的識別能力。

除了上述方式外，流量清洗也能有效防禦 DDoS 攻擊

以流量清洗防禦 DDoS 攻擊的運作原理

流量清洗的運作原理在於識別與分析造訪流量行為是否正常，以阻擋潛在的攻擊流量。當系統偵測到異常流量時，會自動進行過濾或移除異常流量，再將安全流量導回目標伺服器，確保一般用戶可以正常造訪目標網站。

以 Akamai Prolexic 流量清洗為例，可以達到以下效果：

• 支援零秒緩解的 SLA

• 提供專屬 10 Tbps 高訪問網頁利用全球 36 座清洗中心，阻止攻擊流量抵達 ISP 端

• 全面託管式，隨時在線保護混合雲環境

Akamai Prolexic 流量清洗能配合客戶不同環境做整合，有效緩解DDoS 攻擊指令，曾阻擋超過 1.35 Tbps 攻擊，目前最大防禦量最大的攻擊頻寬是 1.44 Tbps 及 809 Mbps。

DDos 攻擊實際案例解析

中信房屋在實踐 DDoS 防護戰績表現卓越：在疫情期間，中信房屋官網「線上影音賞屋」使用量呈倍數成長。然而，大量的外部網路爬蟲湧入爬取資訊，導致官網速度下降，影響使用者的瀏覽體驗。為了因應這些挑戰，中信房屋選擇了Akamai的解決方案，包括AAP和CDN服務，以提高官網的速度和保護免受DDoS攻擊。在概念驗證期間，官網經歷明顯提速，攻擊事件減少16.9%，網頁載入速度提升50%，徹底發揮 DDoS 防禦綜效，為中信房屋官網提供最優質的使用體驗。

更多邁達特 Metaage 協助企業抵擋 DDoS 攻擊案例：台中銀投信、藍新科技 

DDoS 攻擊猖獗氾濫，影響金融業者的網路銀行性能、證券下單APP、線上投保等功能，身為金融業者的您，企業資安超前部署了嗎？

全台超過八成的金融業者導入 Akamai AAP （Cloud WAF + CDN ）解決方案抵禦 DDoS 攻擊，唯一結合多種防禦、緩解 DDoS 攻擊技術的單一解決方案，符合金融業法規、評級最佳、SLA 100 % 的 CDN，金融業者資安神隊友。

資安專家：關於DDoS攻擊意想不到的 3 個點！

Akamai 作為資安應用領導品牌，每天服務全球約 15~30% 的流量，在資安領域有豐富經驗。有關 DDos 攻擊，Akamai 提醒有三大重點不可不察：

1. 無一倖免：過去 DDos 攻擊對象常為大型網站、遊戲或博弈產業，但近年包括金融、製造、高科技業都被列為攻擊目標。

2. 無法復原：因台灣電信商對外頻寛有限，若被 DDoS 攻擊，ISP 會將 IP 拉黑，使其無法提供服務，即使購買新的硬體設備都無法復原。

3. 多重攻擊：DDos 攻擊有兩種：1. 頻寬塞爆類型、2. 用封包數攻擊設備乘載量。近年趨為混合形，夾帶多重類型手法。

也就是說目前 DDos 攻擊有更加普遍、複雜的趨勢，因此預防勝於治療，事前防範、強化資安措施，遠比事後修復更為重要！

面對分散式阻斷服務 (DDoS) 攻擊解決方案推薦

企業面對 DDoS 阻斷服務攻擊唯有增強資安防禦能力，並持續更新保護機制，才是有效防禦 DDoS 攻擊的唯一解決方案。針對 DDoS 攻擊，MetaAge 邁達特 推薦使用 Akamai 進行防禦與流量清洗，除了在 L7 的 AAP 可以進行網站 DDoS 的防禦外，在 L3/4 也有 7/24 全託管的 Prolexic 流量清洗服務。Akamai 網路安全服務具備以下 5 大優勢： 

• 全球節點部署 

Akamai 已在全球部署了超過 40 萬台伺服器，高涵蓋率的防禦系統部署，可快速分析、定位和清洗攻擊流量，保障客戶網站的正常運行。

• 源站隱藏 

Akamai 可隱藏真實源站伺服器位址，以預防源站遭到鎖定，阻止攻擊流量進入目標系統。

• 自適應防禦 

Akamai 可以根據攻擊流量的變化自動調整防禦策略，提供企業所需的自適應的防禦機制，可適應不同的攻擊手段和形式。

• 高效清洗 

Akamai 擁有強大的清洗能力，可以在短時間內清洗大量 DDoS 攻擊流量，有效降低客戶的網站遭受攻擊所帶來的損失。

• 24/7 監控支援 

Akamai 提供 24/7 全天候的監控和技術支援服務，可快速並即時解決客戶的問題。

Akamai 擁有足夠的大數據去分析目前最新的網路威脅，若您在尋找可靠的 DDoS 與網路安全方案，Akamai 將能提供全方位的強大保障。您可立即 線上填寫表單 與 MetaAge 邁達特聯繫，我們將有專人與您接洽說明，以儘速協助您保護系統安全，為您的企業做到全方位的資安提升！