【DDoS攻擊】R-U-Dead-Yet？R.U.D.Y.攻擊是什麼？｜Skycloud

R.U.D.Y.攻擊是什麼？

　R.U.D.Y. 是「R U Dead Yet ?」的簡稱，R.U.D.Y.攻擊是屬於 OSI 模型中，第七層應用層的一種低速且隱蔽的 DDoS 攻擊手法，這種攻擊會透過持續且緩慢的傳送 HTTP POST 請求(如：傳送大型 HTTP 表單的內容)，消耗伺服器資源直至耗盡，導致網站無法回應正常使用者的請求。

　R.U.D.Y.攻擊被歸類為「低速緩慢攻擊」，原因就在於 R.U.D.Y.攻擊專注在建立一些冗長且緩慢，而不是大量且快速的請求，使伺服器不堪負荷。

　R.U.D.Y. 攻擊的主要效果是拖延伺服器處理 HTTP 請求的線程與資源，使系統回應變慢甚至拒絕服務；其特色是難以利用傳統防火牆或流量閾值辨識、可以透過工具自動化發動、特別針對需要表單輸入的頁面，如登入或註冊頁面。

R.U.D.Y.攻擊特點

　R.U.D.Y.攻擊(R U Dead Yet ?) 的特點就在於它的低頻率傳送、長時間占用連線資源、標準合法的請求格式...等，這些特徵也正是R.U.D.Y.攻擊難以偵測和預防的關鍵。

• 低頻率傳送
  利用極慢的速率發送 HTTP POST 請求，如每幾十秒傳送一小段資料，避免觸發流量警報。

• 長時間占用連線資源
  每個請求都占用伺服器資源極長的時間，導致其他連線被排擠、無法使用。

• 標準合法的 HTTP 請求格式
  請求在協定層面上是正當合法的請求，因此難以用傳統的方式區分攻擊與正常行為。

• 針對應用層 Layer 7
  攻擊目標是 OSI 模型中的第七層應用層，尤其是處理 HTTP POST 請求的伺服器邏輯。

• 低頻率、高破壞
  R.U.D.Y.攻擊不需要大量頻寬、也不需要大量 IP，只靠幾十個慢速連線就可以癱瘓伺服器。

• 常使用自動化攻擊工具
  攻擊者常用自動化攻擊工具進行攻擊，如「R.U.D.Y.工具套件」等工具，進行自動化攻擊流程。

• 難以透過傳統防火牆或入侵防禦系統偵測
  因為請求頻率不高且請求格式正常，一般不會觸發典型的攻擊行為偵測規則。

R.U.D.Y.攻擊運作原理

　R.U.D.Y.攻擊的運作原理，是透過緩慢發送 HTTP POST 請求內容來耗盡伺服器資源，使之無法處理正常使用者的請求。

1. 建立合法的 HTTP POST 請求
   攻擊者會建立正常格式的 HTTP POST 請求，並在標頭中加入字串，聲稱將傳送一筆特定大小的資料 (HTTP 標頭是隨每個 HTTP 請求與回應一併傳送的，HTTP標頭會提供重要資訊，如正在使用的HTTP版本、內容語言和正在傳遞的內容量...等)。

2. 緩慢傳送請求主體(body)資料
   攻擊者不會一次送出資料，而是以極慢速的方式逐步傳送 POST 請求的主體。

3. 伺服器持續等待完整資料
   根據 HTTP 協定，伺服器會等待整個字串所標示的資料接收完成後，才會進一步處理請求，因此會一直保留這個連線不中斷。

4. 大量占用連線資源
   攻擊者會同時發起大量這類「未完成的 POST 請求」來造成網站伺服器的資源被占滿，如Connection Pool(連線池)、記憶體等。

5. 導致服務中斷或效能下降
   當伺服器無法再處理新的連線時，正常使用者的請求就會被延遲或拒絕，最終達到 DDoS 攻擊的目的。

　R.U.D.Y.工具可以同時建立多個緩慢速度的請求，這些請求可以都針對一個網站伺服器，而一般來說，伺服器預設都會等待完整的 POST 請求資料，因此 R.U.D.Y.攻擊特別容易成功；另外，伺服器能同時處理的請求數是有限的，R.U.D.Y.攻擊則可輕易拖住這些連線，最終達到拒絕服務的目的。

R.U.D.Y.攻擊情境

　我們用簡單的生活情境來比喻 R.U.D.Y.攻擊情境，幫助讀者更加容易解這種低慢速耗盡資源的攻擊方式。

情境一：點餐超慢的假客人

假設你是一間餐廳的店員，要先幫客人點餐後才能做餐。

• 客人排隊點餐時，每次只講一個字，每個字之間還停個十秒鐘。
  客人：「我...想...要...一...份...蒜...泥...白...肉...再...加......」...

• 你為了點餐，只能等他講完才能將單子給廚房做餐，因此無法處理後面正常的客人。

• 如果同時有幾十甚至上百個這種「點餐超級慢的假客人」來排隊點餐，整間餐廳就會被塞爆，並且無法服務真正有需要的客人。

這就像 R.U.D.Y.攻擊中，傳送非常慢的 HTTP POST 資料，拖住伺服器並耗盡資源。

情境二：電影院買票占用櫃台

假設你經營一間電影院，你要販售電影票給客人。

• 客人跟你買票，每次只給 1 元，還邊划手機邊思考要看哪一部電影。

• 你身為售票員，因為錢還沒有收完、無法提供電影片給客人，從而導致你無法結束這筆交易，也無法服務下一位客人。

• 如果同時有十幾甚至上百個這種「拖拖拉拉的客人」，整個售票系統就會癱瘓，讓真正要買票的客人根本排不到。

這就像R.U.D.Y.攻擊中，伺服器如同售票櫃台，被拖延的請求一直占用著，讓其他正常請求無法處理。

以上這兩個比喻都突出了 R.U.D.Y.攻擊的關鍵特性，就是...

• 看起來像正常請求，但「非常慢」。

• 佔用資源卻不結束，導致服務無法運作。

• 攻擊者不靠流量，而靠「時間拖延」來癱瘓系統。

如何防禦 R.U.D.Y.攻擊

　R.U.D.Y.攻擊是低緩慢速攻擊的一種方式，不僅會偽裝成合法請求，並以極緩慢速率發送資料，佔據伺服器直至耗盡，這種 DDoS 攻擊會比一般大流量型的攻擊更為細緻，因此非常難以偵測，但我們可以採取保護措施來防止R.U.D.Y.攻擊。

• 縮短伺服器超時時間
  設定 HTTP POST 資料接收的等待時間，例如 10~30 秒，避免被拖延連線佔用資源。

• 限制單一 IP 的連線數與速率
  防止單一攻擊者開太多慢速連線，拖垮伺服器。

• 部署網站應用防火牆 WAF
  偵測慢速或異常 POST 行為，自動封鎖攻擊請求。
  如 Cloudflare、騰雲運算...等 Anti-DDoS/WAF 服務提供此類功能。

• 使用 CDN/ 反向代理分流流量
  將攻擊擋在邊緣節點，保護原始伺服器。
  如 Cloudflare、Akamai、騰雲運算...等。

• 啟用 CAPTCHA 或驗證機制
  阻擋自動化工具模擬人類發送慢速請求。

• 異常行為偵測與日誌分析
  使用監控工具即時監控與紀錄 POST 傳輸行為，若發現某些 IP 長時間未傳送完資料且數量異常，則立即封鎖或驗證。

　R.U.D.Y. 攻擊雖不如傳統洪水式攻擊那樣暴力，但更具隱蔽性與持久性，適合針對表單、登入頁等資源敏感區域進行攻擊，唯有結合連線管理、應用層行為分析與專業 DDoS 防禦工具，才能有效保障網站穩定營運。