第三層(L3) DDoS 攻擊透過大量網路層封包,如 ICMP、原始 IP 或畸形分片,耗盡頻寬與路由設備資源,導致整體網路或服務不可達。
目錄
➤什麼是第三層 DDoS 攻擊
➤什麼是 OSI 模型第三層
➤第三層 DDoS 攻擊如何運作
➤常見的第三層 DDoS 攻擊種類
➤Skycloud 如何防禦第三層 DDoS 攻擊
什麼是第三層 DDoS 攻擊
DDoS 分散式阻斷攻擊 會試圖利用大量的資料流量壓垮攻擊目標,造成目標網站伺服器的服務中斷,以達到攻擊的目的。
第三層 DDoS 攻擊,是以 OSI 模型中的「第三層(Layer3/L3) 網路層」作為攻擊目標,攻擊者會透過大量的網路層封包,如大量 IP/ ICMP 封包或畸形分片,淹沒目標的路由器、交換器或邊界連線,消耗頻寬或路由資源,導致網路無法正常轉發合法流量,最終造成服務中斷或連線不可達的目的。
第三層 L3 攻擊的目的是讓程式、服務、電腦或網路的運行變慢或使其崩潰,或者填滿容量,讓其他人都無法接收服務,L3 DDoS 攻擊通常會針對網路設備和基礎結構來進行攻擊。
第三層 DDoS 攻擊所帶來的影響是...
大量合法流量被擠出(可用頻寬被耗光)
路由器/防火牆/交換器 CPU 或記憶體飽和,導致丟包或回應延遲
上游連線或整個資料中心對外斷線(間接業務中斷)
若未及時區分,會誤觸清洗,造成誤封或影響正常使用者
什麼是 OSI 模型第三層
OSI 模型是網際網路運作方式的概念模型,從下往上分別是實體層(L1)、資料連結層(L2)、網路層(L3)、傳輸層(L4)、會議層(L5)、展示層(L6)和應用層(L7)。
OSI 模型第三層是網路層 Network Layer,主要是通訊協定是網際網路通訊協定(Internet Protocol,IP),在資料傳輸時,協定會將IP位置加入傳輸的資料中,並把資料組成封包(Packet),當資料在網路上傳輸時,封包裡面的IP會告訴網路設備這筆資料的來源及目的地,它會找出資料傳送到目的地的最佳實體路徑,當兩個網路互相通訊時,L3網路層則有助於資料傳輸。常見的L3網路層設備為路由器及IP分享器。
第 3 層 DDoS 攻擊和其他層級的攻擊差異
DDoS 攻擊的目標,通常集中在 L3、L4 和 L7 ,其攻擊存在著差異。L3 是針對頻寬和網路設備、L4 是針對伺服器連線資源,而 L7 則是針對應用程式運算的攻擊。
L3 (網路層攻擊)
以大量 IP 或 ICMP 封包 塞爆頻寬與路由器資源,屬於「粗暴型洪水」,影響整體網路可達性,常見如 ICMP Flood。L4 (傳輸層攻擊)
利用 TCP/UDP 協定機制 拖垮伺服器,例如 SYN Flood 耗盡連線表、UDP Flood 製造無狀態流量,影響伺服器的連線與穩定性。L7 (應用層攻擊)
偽裝成正常使用者,發送 HTTP、DNS 或 API 請求,雖然流量不大,但消耗應用計算資源,容易造成網站或服務卡死,典型例子是 CC 攻擊。
第三層 DDoS 攻擊如何運作
與其他類型的 DDoS 攻擊一樣,攻擊者會透過這些通訊協定傳送大量的網路流量,但第三層 (L3) DDoS 的重點在於「直接針對 IP/網路層」去耗盡頻寬與路由/交換設備的處理能力,而不是針對應用或單一服務的請求。
其運作流程如下:
偵查目標:
蒐集目標 IP、網段與上游路由/ISP 資訊,評估哪條鏈路或設備是瓶頸。準備發動:
組成 botnet、租用流量或濫用反射器(放大點) 以取得大量發送源。發送/放大封包:
向目標或反射器發送大量 IP 層封包,來源常被偽造以躲避追蹤。耗盡頻寬或設備資源:
上游鏈路被塞滿(頻寬耗盡),或路由器、防火牆 CPU / 記憶體 / 連線表被飽和,合法流量因此被丟棄或延遲。持續或變換策略:
攻擊者會持續、間歇或更換封包型態以逃避防護與延長破壞。
其攻擊有效的原因在於頻寬是有限的資源,一旦被填滿,所有流量都受影響,加上網路設備,如路由器或防火牆限制於 CPU/記憶體,面對超大量封包會退化或當機,並且來源偽造與反射放大降低攻擊溯源難度、提高攻擊強度。
常見的第三層 DDoS 攻擊種類
第三層攻擊多以「頻寬耗盡」或「網路設備資源消耗」為目標,以下是幾個常見的第三層 DDoS 攻擊種類。
攻擊方式:以大量 ICMP Echo Request (Ping) 封包轟炸目標,迫使網路設備回應。
影響:消耗頻寬與路由器/伺服器的處理能力,導致合法封包延遲或丟失。
【Smurf 攻擊】
攻擊方式:利用 IP Spoofing 偽造來源 IP,向大量主機發送 ICMP 請求,回應全被導向受害者。
影響:形成巨大的「反射洪水」,迅速耗盡頻寬。
攻擊方式:傳送 超大封包(超過協定允許大小)或畸形封包。
影響:在早期系統上會直接造成當機,現代系統雖較安全,但仍可能造成處理資源消耗。
【LAND 攻擊】
攻擊方式:傳送來源 IP 與目的 IP 相同的封包,讓伺服器陷入「自己打給自己」的狀態。
影響:導致資源無謂消耗,設備可能卡死或重啟。
Skycloud 如何防禦第三層 DDoS 攻擊
Skycloud 面對第三層(L3) DDoS 攻擊的核心是「在邊緣攔截、分散吸收、快速回應」,以 Anycast 多點分流把攻擊流量導向最近的清洗節點,先在網路層就過濾洪水式封包,避免頻寬與路由設備被填滿,同時結合三層分級清洗(L3 → L4 → L7) 進行過濾,將影響降到最低。
參考資料:Cloudflare|第 3 層 DDoS 攻擊如何運作?| L3 DDoS
延伸閱讀:
✔哪些網站或系統容易被DDoS攻擊?容易被DDoS攻擊的網站類型風險與防禦
✔面對 DDoS 攻擊怎麼辦?數發部提出三階段應對建議|騰雲運算DDoS防禦
✔網路流量是什麼?了解流量與改善網路效能和安全性
✔ICMP是什麼?ICMP功能、用途與資安風險完整解析
✔什麼是 Anycast?運作原理、應用場景與 DDoS 防護解析
'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_372_3728'%20x1='19.2966'%20y1='17.8555'%20x2='4.40396'%20y2='14.991'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
Experience fast, secure, and reliable service.
'/%3e%3cpath%20d='M38.0476%2033.4361C38.563%2033.9451%2039.3985%2033.9451%2039.914%2033.4361C40.4294%2032.927%2040.4294%2032.1018%2039.914%2031.5927L28.4218%2020.2421L16.9296%2031.5927C16.4141%2032.1018%2016.4141%2032.927%2016.9296%2033.4361C17.445%2033.9451%2018.2805%2033.9451%2018.7959%2033.4361L28.4218%2023.9289L38.0476%2033.4361Z'%20fill='%23222222'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_1305_5534'%20x1='53.5'%20y1='53.5'%20x2='-6.00852'%20y2='43.6145'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)