【DDoS攻擊】什麼是 放大攻擊？小流量也能造成大破壞的手法｜Skycloud

放大攻擊 是什麼

　在網路安全防禦或網路資訊安全攻擊事件中，常常會聽到「放大攻擊(Amplification Attack)」這個名詞，這是什麼意思？

　放大攻擊(Amplification Attack) 是一種 DDoS 分散式拒絕服務的攻擊手法，攻擊者會利用「網路協定的回應量大於請求量」的特性，藉由伺服器或中介設備「放大」流量，進而以極小成本對目標造成巨量流量壓力。

　所謂的「放大」，就是指攻擊者發出很小的請求封包，但目標伺服器(或被利用的中介設備)回傳的回應卻是請求體積的數十倍、數百倍，甚至數萬倍！

　攻擊者利用這種「小投入 → 大回應」的不對稱，搭配 偽造來源 IP(把來源改成受害者的 IP)，讓這些回應直接淹向受害者，造成頻寬耗盡或服務中斷。

　用簡單的比喻來說，就像有人用你的名義寄出幾封信，結果郵局回你一大堆包裹，讓你的信箱瞬間塞爆。

放大攻擊原理

　放大攻擊核心在於「請求小、回應大」與「來源偽造(reflection)」。攻擊者掃描可被利用的服務，如 DNS、NTP、Memcached、SSDP，將請求的來源欄位改為受害者 IP；放大器收到請求後回傳大量資料到受害者，數十倍、數百倍甚至更高的放大倍率，使受害者迅速耗盡頻寬或系統資源。

放大攻擊基本概念

放大攻擊的基本概念，就是「放大 + 反射 = 大流量打到受害者」。

• 放大(Amplification)：
  指攻擊者發出一個很小的請求封包，但被利用的伺服器回傳的回應封包會比請求大很多倍，可能是數十倍、數百倍或更多。




• 反射(Reflection)：
  攻擊者把請求的來源 IP 偽造成受害者的 IP，這樣被利用的伺服器就會把大量回應直接「反射」到受害者身上。

這樣造成的結果，就是攻擊者只需要很小的上行頻寬，就能讓大量回應流量淹沒受害者。

放大攻擊流程步驟

• 尋找放大器(amplifier)：
  攻擊者掃描網路，找到能回傳大量資料，且允許外部請求的服務，例如開放的 DNS、NTP、Memcached、SSDP 等。




• 偽造來源 IP(spoofing)：
  攻擊者在發送請求時，把 IP Header 的來源欄位改成「受害者的 IP」。




• 發送小封包請求：
  向每個放大器送出小而精簡的請求，這裡通常使用 UDP 協定，因為 UDP 是無連線、易偽造來源。




• 放大器回傳大量回應：
  每個放大器會把巨量或較大的回應，發送到請求中指定的來源(也就是受害者)。




• 受害者遭大量回應淹沒：
  來自成千上萬放大器的回應堆疊在一起，耗盡受害者的頻寬或資源，導致服務中斷。

為什麼 UDP 常被用來做放大攻擊？

UDP 常被用來作為放大攻擊的原因，在於 UDP 是無連線協定，不需三次握手，容易偽造來源 IP，因此許多可放大的服務(如 DNS、NTP、Memcached、SSDP) 使用 UDP 作為通訊，即成為常見目標。

常見的放大攻擊類型

　放大攻擊會利用各種以 UDP 為基礎、且具「請求小、回應大」特性的網路服務。這些服務原本是正常的基礎設施，但若對外開放、缺乏限制，就會被攻擊者濫用。以下是幾種常見的放大攻擊類型。

DNS放大攻擊

DNS 放大攻擊(DNS Amplification Attack) 其協定埠號為 UDP/53，它的攻擊原理是攻擊者向開放遞迴的 DNS 伺服器發送偽造來源 IP(受害者) 的 DNS 查詢(例如 ANY 類型)，伺服器回傳的 DNS 回應可能包含大量記錄(A、AAAA、MX、TXT 等)，導致數十倍的流量放大。

DNS 放大攻擊的放大倍率大約在 30~60 倍不等，加上 DNS 是全球基礎服務，開放 DNS 伺服器數量龐大，因此這種攻擊非常普遍。

• 延伸閱讀：【DDoS攻擊】DNS放大攻擊是什麼？攻擊原理、情境比喻與防禦方法

NTP 放大攻擊

NTP 放大攻擊(NTP Amplification Attack) 其協定埠號為 UDP/123，它的攻擊原理是利用舊版 NTP 伺服器的 monlist 指令(列出最近 600 個連線的 IP)，攻擊者只需發送小小的請求，就可導致高放大倍率(數百倍到上千倍)。

NTP 放大攻擊在被濫用的情形下，放大倍率可達 200~500 倍、甚至更高，新版 NTP 已修補多數問題，但仍有未更新設備存在風險。

• 延伸閱讀：【DDoS攻擊】NTP 放大攻擊是什麼？攻擊原理與情境

Memcached 放大攻擊

Memcached 放大攻擊(Memcached Amplification Attack) 其協定埠號為 UDP/11211，它的攻擊原理是攻擊者對外部可存取的 Memcached 伺服器發送偽造 IP 的請求(如 get key)，伺服器會回傳大型快取資料。

Memcached 放大攻擊在歷史案例中觀察到極高放大倍率(案例曾導致 Tbps 級攻擊)，因此不應對外開放 UDP 介面。

真實案例是 2018 年 GitHub 遭遇過史上最大級別的 DDoS 攻擊之一(超過 1.35 Tbps)，就是利用 Memcached 放大。(新聞來源：iThome)

• 延伸閱讀：【DDoS攻擊】memcached DDoS 攻擊

SSDP 放大攻擊

SSDP 放大攻擊(Simple Service Discovery Protocol) 其協定埠號為 UDP/1900，它的攻擊原理是利用家用或 IoT 裝置，例如智慧電視、IP 攝影機、路由器...等的 UPnP 功能，發送 SSDP M-SEARCH 請求，這些設備回應通常包含設備描述資訊，可造成放大。

SSDP 放大攻擊的放大倍率約 30~50 倍，也因為許多消費性設備預設開啟 UPnP，且缺乏安全設定，導致被利用的數量龐大。

• 延伸閱讀：【DDoS攻擊】SSDP攻擊是什麼？SSDP 放大攻擊原理、情境與防禦一次看

CLDAP 放大攻擊

CLDAP 放大攻擊(Connection-less LDAP) 其協定埠號為 UDP/389，它的攻擊原理是攻擊者利用開放的 CLDAP 伺服器發送查詢請求，伺服器回傳的 LDAP 物件資料較大，造成流量放大。

CLDAP 放大攻擊的放大倍率約 50～70 倍，其主要針對 Windows AD(Active Directory) 環境中的 CLDAP 服務，企業若未限制對外訪問，容易成為放大器。

SNMP 放大攻擊

SNMP 放大攻擊協定埠號為 UDP/161，它的攻擊原理是攻擊者對外部可訪問的 SNMP 裝置發送請求，裝置回傳系統資訊或統計資料。

SNMP 放大攻擊的放大倍率較低，約為 5~10 倍，常見於企業未妥善隔離的網管設備。

放大攻擊造成的影響

　放大攻擊不僅是流量過大的問題，其影響層面廣泛，會從技術、營運到品牌與法遵都造成衝擊，並且放大攻擊是一種小成本、高破壞力的事件，必須事前部署防護、監控與緊急應對計畫，才能降低損失。

【技術面影響】

• 頻寬耗盡：攻擊流量佔滿上下游網路頻寬，合法使用者的連線被阻塞或封包掉落。

• 設備資源耗盡：防火牆、負載平衡器、伺服器 CPU、記憶體或連線追蹤表可能被耗盡。

• 延遲與封包丟失：互動式應用如遊戲、VoIP 或即時系統性能下降。

• 服務中斷：受害系統可能完全不可用，合法用戶體驗立即受影響。

【營運與財務影響】

• 收入損失：線上交易、廣告或付費服務中斷。

• 額外成本：啟動清洗服務或加購頻寬會產生額外費用。

• 服務級別協定(SLA) 違約：服務未達約定水準可能導致賠償或罰則。

• 人力資源消耗：安全與網路團隊需持續排查與應對。

【品牌與信任】

• 用戶信任下降：頻繁或長時間不可用，可能導致用戶流失。

• 聲譽風險：大規模中斷事件可能引發負面媒體報導或社群批評。

【法遵與生態系統影響】

• 通報義務：部分行業需向主管機關或客戶通報資安事件。

• 旁及影響：同網段或同機房的其他用戶可能受攻擊波及。

• 供應鏈中斷：依賴該服務的下游系統(API、支付、認證) 也可能中斷。

Skycloud 如何防禦放大攻擊

企業端：

• 關閉或限制不必要的公開 UDP 服務，如 Memcached、未受限的 NTP、UPnP/SSDP。

• 啟用 Response Rate Limiting(RRL) 並限制非信任來源的遞迴查詢。

• 對 SNMP、CLDAP 等服務限制來源 IP。

Skycloud 可協助：

• 持續監控與行為分析偵測大量反射流量。

• 在攻擊發生時導流至雲端清洗節點並過濾惡意封包。

• 利用全球 Anycast 節點分散攻擊流量，並快速與 ISP 協調緩解，以確保服務可用性。

※防禦廠商可緩解攻擊、保護可用性，但阻止來源 IP 偽造需在 ISP/邊界層推動與落實。

總結：小流量也能掀起大風暴

　放大攻擊(Amplification Attack)的危險在於「小流量、大破壞」的不對稱，攻擊者發出少量偽造來源的請求，利用公開可被放大的服務，如 DNS、NTP、Memcached…等，讓這些服務回傳數十倍、數百倍甚至更高的資料到受害者，迅速耗盡頻寬與資源，造成服務中斷與營運損失。

　因為放大攻擊依靠放大器與來源偽造，防護需要企業端關閉或限制可被濫用的服務，再加上像是 Skycloud 這類 DDoS 防禦廠商提供的流量監控、清洗與全球分流，才能將「破壞力」降到最低。