第四層攻擊多以「連線狀態或傳輸資源耗盡」為目標,透過大量 TCP/UDP 封包或連線請求癱瘓伺服器與中間設備。
➤什麼是第四層 DDoS 攻擊
➤什麼是 OSI 模型第四層
➤第四層 DDoS 攻擊如何運作
➤常見的第四層 DDoS 攻擊種類
➤Skycloud 如何防禦第四層 DDoS 攻擊
什麼是第四層 DDoS 攻擊
DDoS 分散式阻斷攻擊 會試圖利用大量的資料流量壓垮攻擊目標,造成目標網站伺服器的服務中斷,以達到攻擊的目的。
第四層 DDoS 攻擊,是以 OSI 模型中的「第四層(Layer4/ L4) 傳輸層」作為攻擊目標,攻擊者以傳輸層的協定(主要為 TCP、UDP) 作為攻擊載體,透過大量封包或大量半開/完整連線來耗盡目標的連線表、伺服器網路頻寬或中間網路設備的處理能力,讓合法流量被阻斷或延遲。與 L7(應用層)不同,L4 攻擊偏向「量」與「連線狀態」層面的消耗,而非複雜的應用請求。
第四層 L4 DDoS 攻擊的目的,是耗盡目標的傳輸層資源,如 TCP/UDP 連線表、連線數或傳輸頻寬,導致服務無法回應合法使用者;L4 攻擊通常透過大量 TCP/UDP 封包或大量連線請求,如 SYN 洪水、UDP 洪流或連線耗盡,來佔滿主機或中間設備的連線/狀態資源。
第四層 DDoS 攻擊所帶來的影響主要是...
資源耗盡:佔滿 TCP/UDP 連線與狀態表,導致伺服器無法處理合法請求。
設備過載:大量封包壓垮頻寬、防火牆或負載均衡器,造成網路性能下降。
業務受損:合法用戶無法存取服務,帶來停機、交易中斷與信任流失。
什麼是 OSI 模型第四層
OSI 模型是網際網路運作方式的概念模型,從下往上分別是實體層(L1)、資料連結層(L2)、網路層(L3)、傳輸層(L4)、會議層(L5)、展示層(L6)和應用層(L7)。
OSI 模型第四層是傳輸層 Transport Layer,主要負責電腦整體的資料傳輸及控制,L4傳輸層可以將較大的資料切割成多個適合的資料流來傳輸,替模型頂端的第五、六、七等三個通訊層提供流量管制及錯誤控制。
L4傳輸層是 傳輸控制通訊協定(TCP) 和使用者資料包通訊協定(UDP) 連接埠編號運作的地方,其中的 傳輸控制通訊協定(TCP)更是我們最常接觸的協定,它在傳輸資料內加入驗證碼,當對方收到後就會依照這個驗證碼回傳對應的確認訊息(ACK),若對方未即時回傳確認訊息,資料就會重新傳送一次,確保資料傳輸完整完成。
第 4 層 DDoS 攻擊和其他層級的攻擊差異
DDoS 攻擊的目標,通常集中在 L3、L4 和 L7 ,其攻擊存在著差異。L3 是針對頻寬和網路設備、L4 是針對伺服器連線資源,而 L7 則是針對應用程式運算的攻擊。
第 3 層 L3 網路層:
以 IP/ICMP 封包洪流或畸形分片淹沒路由器、交換器與頻寬資源,造成網路傳輸中斷。第 4 層 L4 傳輸層:
利用 TCP/UDP 封包與連線請求耗盡伺服器或中間設備的連線狀態表與頻寬,典型手法有 SYN Flood、UDP Flood。第 7 層L7 應用層:
模擬合法應用請求(如 HTTP/HTTPS、API 呼叫) 直接消耗伺服器處理能力,難以單純靠封包過濾攔截。
第四層 DDoS 攻擊如何運作
與其他類型的 DDoS 攻擊一樣,攻擊者會透過這些通訊協定傳送大量的網路流量,但第四層更著重於「傳輸層的連線狀態與傳輸資源」,也就是說攻擊不只是單純灌頻寬,而是刻意耗盡 TCP/UDP 的連線表、半開連線或連線池,讓中間設備(如防火牆、負載均衡器) 與主機無法再接受或維持合法連線。
其運作流程如下:
掃描開放埠口與容量:
攻擊者掃描目標的公開埠與服務,例如 TCP/UDP 埠,評估可用容量、連線上限與弱點。動員殭屍網路或反射伺服器:
動員殭屍網路流量來源,或收集可被濫用的放大反射伺服器。選擇向量:
決定使用 SYN Flood、UDP Flood、或連線耗盡等 L4 向量,並可能混合多種向量。發起攻擊:
大量來源同時發送 TCP/UDP 封包或連線請求,例如大量 SYN,迅速提高目標的連線/封包負載。耗盡資源:
目標的 TCP/UDP 連線表、socket連線池或上游設備被佔滿,同時頻寬可能也被淹沒。躲避偵測:
攻擊者變換來源 IP、調整速率、改變封包特徵或採用短時爆發與長期低速混合以避開簡單防護規則。維持/撤退:
根據目的(癱瘓、勒索或試探),維持攻擊直到目標掛掉或攻擊目的達成,然後撤退或改變策略再度發動。
通常攻擊會在短時間內造成連線狀態異常與新連線激增,第四層 DDoS 攻擊透過大量 TCP/UDP 封包或連線請求,有系統地耗盡目標與中間設備的「連線狀態與傳輸資源」,讓合法使用者無法建立或維持連線。
常見的第四層 DDoS 攻擊種類
第四層攻擊多以「連線狀態或傳輸資源耗盡」為目標,以下是幾個常見的第四層 DDoS 攻擊種類。
【SYN 洪水攻擊】
攻擊方式:大量發送偽造或真實的 TCP SYN 封包,使伺服器產生大量半開連線。
影響:佔滿 TCP backlog 與連線表,導致新連線被拒或延遲。
【UDP 洪水攻擊】
攻擊方式:以海量 UDP 封包轟炸目標埠(或多埠),迫使伺服器處理大量無狀態封包。
影響:頻寬被耗盡或主機被迫大量處理回應,造成網路/服務不可用。
【反射/ 放大攻擊】
攻擊方式:偽造受害者來源向可被濫用的公開 UDP/TCP 服務(如 DNS、NTP)發請求,引發放大回應。
影響:龐大回應流量打向受害者,造成超大頻寬洪流與服務癱瘓。
【連線耗盡攻擊】
攻擊方式:建立大量完整、持久連線或維持長時間閒置連線,耗盡 socket/連線池。
影響:伺服器/負載均衡器無法接受新連線,服務拒絕或資源枯竭。
Skycloud 如何防禦第四層 DDoS 攻擊
第四層 DDoS 攻擊往往隱蔽且具高破壞力,能在短時間內癱瘓伺服器與關鍵設備,造成業務中斷與信任流失。Skycloud 憑藉全球節點、三層流量清洗架構與智能化防禦機制,協助企業有效化解各類傳輸層威脅,確保服務穩定、安全不中斷。
延伸閱讀:
✔【DDoS攻擊】ACK 洪水攻擊 是什麼?
✔網路流量是什麼?了解流量與改善網路效能和安全性
✔什麼是 Anycast?運作原理、應用場景與 DDoS 防護解析
✔【DDoS防禦推薦】台灣購買 Anti-DDoS 服務如何選擇?6家廠商比較
✔【CDN 推薦】如何挑選最適合的 CDN 服務?
'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_372_3728'%20x1='19.2966'%20y1='17.8555'%20x2='4.40396'%20y2='14.991'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)
Experience fast, secure, and reliable service.
'/%3e%3cpath%20d='M38.0476%2033.4361C38.563%2033.9451%2039.3985%2033.9451%2039.914%2033.4361C40.4294%2032.927%2040.4294%2032.1018%2039.914%2031.5927L28.4218%2020.2421L16.9296%2031.5927C16.4141%2032.1018%2016.4141%2032.927%2016.9296%2033.4361C17.445%2033.9451%2018.2805%2033.9451%2018.7959%2033.4361L28.4218%2023.9289L38.0476%2033.4361Z'%20fill='%23222222'/%3e%3cdefs%3e%3clinearGradient%20id='paint0_linear_1305_5534'%20x1='53.5'%20y1='53.5'%20x2='-6.00852'%20y2='43.6145'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20stop-color='%2336BCD4'/%3e%3cstop%20offset='1'%20stop-color='%2362E0B9'/%3e%3c/linearGradient%3e%3c/defs%3e%3c/svg%3e)