第 3 层、第 4 层和第 7 层攻击
第 3 层攻击针对网络层(IP、ICMP) — 例子是 ICMP 洪水和 IP 分片攻击。第 4 层攻击针对传输层(TCP、UDP) — 例子是 SYN 洪水、UDP 放大和 DNS 放大。第 7 层攻击针对应用层(HTTP、HTTPS) — 例子是 HTTP GET/POST 洪水和 Slowloris。每一层需要不同的缓解。
第 3 层和第 4 层的容量攻击试图饱和网络管道本身。已公开披露的最大攻击已超过多 Tbps 阈值 — Cloudflare 报告在 2025 年 5 月缓解了 7.3 Tbps 攻击,AWS Shield 早在 2020 年 2 月就报告了 2.3 Tbps 攻击。这些攻击有效是因为放大协议(DNS、NTP、memcached、CLDAP)让小型欺骗查询触发发送给受害者的更大响应 — 已记录 DNS 的 50 倍、NTP 的 200 倍、memcached 的 50,000 倍放大因子。第 4 层的协议攻击 — SYN 洪水、ACK 洪水、分片包攻击 — 耗尽防火墙和负载均衡器上的连接跟踪状态,而不是饱和带宽。第 7 层攻击是按字节计算的最小,但最难过滤:来自 100,000 节点僵尸网络的 HTTP 洪水看起来与真实用户位对位相同,只有应用感知逻辑才能区分它们。
BGP 黑洞和远程触发黑洞(RTBH)
BGP 黑洞是最后手段的残酷但有效的缓解:网络运营商将 /32 路由通告到特殊的 "黑洞" BGP 社区,告诉所有上游对等方完全丢弃发往该 IP 的流量。目标保持离线,但网络的其余部分保持运行。RTBH 在 RFC 5635 中标准化,得到每个 Tier 1 运营商的支持。
RTBH 在 RFC 5635(2009 年 8 月)中记录,通过用社区属性标记路由来工作,上游对等方将其解释为 "丢弃发往此前缀的所有流量"。缓解是完全的 — 受保护的 IP 从整个互联网变得不可达,包括对合法用户 — 但它保护客户机群的其余部分免受附带损害。由于其残酷性,当单个 IP 被多百 Gbps 攻击饱和,且使该 IP 保持在线的更广泛中断成本超过保持其在线的成本时,RTBH 是合适的。许多低层 "DDoS 防护" VPS 方案实际上意味着这一点:服务商将在攻击下使您的 IP 空路由,以保持其机群其余部分安全。这是按定义的拒绝服务缓解,但受保护的资源是服务商的网络,而不是您的网络。
清洗中心和流量分流
清洗中心是一个加固的网络站点,在那里攻击流量被过滤掉,干净流量被转发到源服务器。流量通过 BGP 通告(始终在线或按需)或 DNS 指向被分流到那里。每 Tbps 清洗容量是头条指标 — 最大的服务商运营 200+ Tbps 的聚合清洗,而专业主机服务商通常通告 1-10 Tbps。
清洗中心运行专业设备 — Arbor TMS、Radware DefensePro、A10 Thunder、NSFOCUS ADS 或大规模自定义 Linux/DPDK 管道 — 它们检查每个数据包,分类良性与恶意模式,并仅将干净部分转发到源服务器。分流通常通过 BGP 完成:在攻击期间,客户的前缀从清洗服务商的任播网络通告,将所有流量吸入最近的清洗站点。清洗后,流量通过隧道(GRE、IPSec、专用交叉连接或直接对等)返回到源服务器。区域内清洗延迟通常为 1-3 ms,加上分流增加的任何额外路径。始终在线清洗保持永久分流,消除缓解启动时间,代价是恒定的延迟税。按需清洗仅在检测到攻击时分流,这更便宜,但引入 30-180 秒的激活窗口,在此期间攻击落地。
始终在线 vs 按需缓解
始终在线缓解通过清洗层 7×24 路由所有流量 — 零激活延迟,但每个数据包都支付小额延迟税(通常 1-5 ms)。按需缓解仅在检测到攻击时激活,消除稳态延迟,但在激活窗口期间(通常 30-180 秒)暴露源服务器。混合设置结合两者:HTTP/HTTPS 始终在线,原始 IP 流量按需。
在始终在线和按需之间选择是稳态延迟和攻击窗口漏洞之间的权衡。延迟敏感服务 — 多人游戏服务器、低延迟交易、语音/视频 — 通常选择按需,接受激活间隔,因为每毫秒稳态 RTT 都让他们付出代价。面向公众的 Web 服务、API 和 SaaS 应用通常选择始终在线或完全代理的类似 CDN 拓扑,其中源 IP 甚至不公开知道,完全消除攻击窗口。现代云边缘服务商(Cloudflare、Fastly、AWS Shield Advanced、Google Cloud Armor)默认倾向于始终在线,因为他们的网络已经在数百个边缘位置终止流量,"绕道" 基本上是零。
速率限制、WAF 和应用层防御
速率限制限制每个源 IP、每个会话或每个 URL 的请求,在不影响合法流量的情况下削弱第 7 层洪水。Web 应用防火墙(WAF)根据规则检查 HTTP 请求 — OWASP Top 10 防护、自定义速率规则、地理阻塞、JS 挑战和 CAPTCHA。它们一起处理仅容量清洗无法处理的第 7 层攻击。
容量清洗在 IP 和端口边界处停止。要停止看起来像真实 Chrome 流量的 HTTP 洪水,您需要操作 URL、标头、cookie 和行为的规则。速率限制是最简单和最有效的第 7 层控制:将单个 IP 限制为 /login 上每分钟 60 个请求,丢弃其余。WAF 通过内容感知规则进一步:阻止具有 SQL 注入模式、异常用户代理、缺少引荐者、来源地理位置在您的服务区域之外或负载大小远在合法范围之外的请求。现代 WAF(AWS WAF、Cloudflare WAF、Fastly Next-Gen WAF、带 OWASP 核心规则集的 ModSecurity)还运行 JavaScript 挑战、hCaptcha 和机器人指纹启发式,在不打扰真实浏览器的情况下将僵尸网络的命中率降低 99% 以上。
主机服务商通常包含 vs 额外收费的内容
免费或包含层级通常涵盖第 3-4 层容量攻击,达到固定 Gbps 上限(通常 10-100 Gbps),使用基本速率限制和 BGP 黑洞。付费附加项通常包括始终在线清洗、WAF、第 7 层缓解、自定义规则编写和 SLA 支持的缓解保证。阅读合同 — "无限 DDoS 防护" 通常意味着 "我们将在 X Gbps 以上将您空路由"。
主机服务商 DDoS 营销差异很大。真正有用的防护包括三件事:(1)以 Gbps 或 Tbps 表示的明确容量,(2)第 3 至第 7 层覆盖,包括 HTTP 洪水缓解,以及(3)有书面 SLA 的缓解开始时间和流量损失承诺。不太有用的防护是带有单个 "DDoS 防护" 徽章但没有容量数字的,这通常意味着仅 BGP 黑洞 — 您的 IP 在攻击下被空路由,您在攻击期间离线。在评估时,询问:每 IP 的声明容量是多少?是始终在线还是按需?它涵盖第 7 层吗?缓解激活时间 SLA 是多少?当攻击超过您层级的上限时会发生什么?答案揭示您是购买真正的防护还是营销标签。