IP Flood 攻擊是什麼？

 　IP Flood 攻擊是一種 DDoS 分散式阻斷服務攻擊的型態，屬於 OSI 模型中 網路層 L3 與 傳輸層 L4 的典型攻擊手法，攻擊者會操控大量受感染的殭屍電腦或伺服器，向目標伺服器或網路設備發送 海量的 IP 封包，這些封包可能是 TCP、UDP 或 ICMP 等協定流量；由於流量來源分散，且數量龐大，受害伺服器在短時間內就會被淹沒，造成：

• 頻寬資源被大量佔用，正常使用者無法連線。

• 伺服器 CPU、記憶體或網路處理模組過載，導致延遲、斷線甚至當機。

• 網路設備，如防火牆、路由器、交換器...等，因持續處理異常流量而失效。

IP Flood 攻擊的特點就在於...

• 高流量：短時間內製造極大量封包，超出目標承載能力。

• 隨機化：可能隨機變化來源 IP，讓封包難以被簡單過濾。

• 簡單粗暴：不像 L7 應用層 攻擊需要偽裝請求，IP Flood 更著重於「以量取勝」。

　IP Flood 攻擊難以防禦，其原因在於 IP Flood 攻擊來源分散、常伴隨 IP 欺騙、且流量量級大，使得僅靠單台伺服器或傳統防火牆很難快速阻擋。

※ IP Flood 並非標準術語，而是對各類基於 L3/L4 封包洪水攻擊的統稱，業界更常直接以 ICMP Flood、UDP Flood、SYN Flood…等名稱來描述攻擊手法。

IP Flood 攻擊原理

　IP Flood 是一種以大量網路封包淹沒目標的攻擊，目標可以是伺服器、路由器或整個網段。攻擊不一定追求「破壞資料」，而是用數量把對方的頻寬、連線表或處理資源耗盡，造成合法用戶無法連線、服務降級並影響使用者體驗。

攻擊流程會是這樣...

• 準備來源：控制大量殭屍主機或找到可被濫用的放大伺服器。

• 選定目標與向量：決定用哪種封包類型(ICMP/UDP/TCP/RAW) 或是否採放大。

• 發動攻擊：同步或分散發送海量封包(或向反射器發送偽造請求)。

• 觀察效果：若流量成功淹沒頻寬或耗盡資源，目標服務將不可用或嚴重降速。

攻擊者是如何做到 IP Flood 攻擊的？

• 量大壓力：
  攻擊者發出海量 IP 封包 (TCP/UDP/ICMP 或原始 IP)，瞬間超過目標或其上游網路的頻寬與處理能力，造成封包丟失、延遲或中斷。




• 資源耗盡：
  某些攻擊會消耗非頻寬資源——例如半開連線(SYN Flood) 填滿連線表、分片攻擊浪費重組緩衝區、或大量小封包導致 CPU/中斷處理飆高。




• 來源分散或偽造：
  攻擊來源常來自殭屍網路(botnet)或使用 IP 欺騙(spoofing)，讓來源 IP 數量多且難以封鎖。




• 放大/反射(可選手法)：
  有時攻擊者不直接發大量流量給受害者，而是向第三方 (如公開 DNS、NTP、Memcached) 發小請求並偽造來源為受害者，第三方回應把流量放大並送給受害者，倍數上可達數十到數千倍。

IP Flood 攻擊常見變種

　IP Flood 攻擊這種「以量取勝」的DDoS攻擊手法，會將目標的頻寬、連線表或處理能力耗盡，造成合法使用者無法存取服務，IP Flood 的常見變種如下：

• ICMP Flood(大量 ping)：
  大量發送 ICMP Echo Request（ping）淹沒頻寬或逼迫目標回應，造成延遲或不可用。




• UDP Flood：
  對隨機或指定 UDP 埠大量發封包，消耗處理與頻寬資源，常影響 VoIP、遊戲等服務。




• SYN Flood：
  大量發送 TCP SYN 並不完成握手，填滿伺服器的半開連線表導致新連線被拒。




• Smurf / Broadcast 放大：
  向廣播位址送偽造來源的 ICMP 請求，讓整個網段回覆受害者，形成回流放大。
  ※ Smurf 在早期常見，但由於多數設備已修補廣播回應漏洞，目前實務上較少見。




• 放大型攻擊(Amplification)：
  利用公開服務(如 DNS、NTP、Memcached 等) 把小請求放大成大量回應，並把回應導向受害者。
  ※ 嚴格來說，放大型攻擊多被歸類在反射/放大 DDoS，但也常被視為 IP Flood 的衍生形態。

IP Flood 攻擊情境比喻

　現在我們用簡單的情境比喻方式，來說明 IP Flood 攻擊的情境，讓讀者更容易理解。

情境一：電話佔線

• 想像一家公司只有幾條客服專線，卻在同一時間湧入上萬通惡意電話，不斷重複無意義的話，結果真正的客戶完全打不進來。

• 這就像 IP Flood 攻擊，用大量流量把資源佔滿，讓服務無法運作。

情境二：馬路塞車

• 就像一條馬路突然湧入無數假車輛把車道堵死，真正要通行的車輛根本過不去。

• IP Flood 攻擊也是如此，攻擊者製造大量假流量，把頻寬和系統塞爆，讓合法用戶被迫停在外頭。

如何防禦 IP Flood 攻擊？

　IP Flood 攻擊的核心是「以量取勝」，因此防禦必須多層並行：

• 伺服器端防護：
  啟用 SYN Cookies、速率限制 Rate Limit、調整 TCP backlog 與 conntrack 表，並關閉不必要的 ICMP/UDP 服務，避免資源快速耗盡。




• 網路端防護：
  在路由器或防火牆設定 ACL，啟用 uRPF 防止 IP 偽造，並與 ISP 合作採取流量監控、BGP 黑洞或 Flowspec 過濾異常流量。




• 雲端防護：
  利用 CDN 或 Anycast 分流，並搭配專業 DDoS 清洗服務，在攻擊流量進入企業網路前就被過濾。

　透過伺服器、網路與雲端三層防護，才能在遭遇大規模攻擊時仍維持服務穩定，保障用戶體驗與企業營運。

　若觀察到流量異常飆升、SYN 半開連線數暴增、或 CPU/網卡使用率持續高於平常，就可能是 IP Flood 攻擊徵兆。