最新情報

第三層(L3) DDoS 攻擊透過大量網路層封包,如 ICMP、原始 IP 或畸形分片,耗盡頻寬與路由設備資源,導致整體網路或服務不可達。

MULTI-CDN
百科學習

DDoS攻擊如何在第 3 層網路層運作?DDoS 網路層 L3|Skycloud

DDoS攻擊如何在第 3 層網路層運作?DDoS 網路層 L3|Skycloud
2025-09-18

第三層(L3) DDoS 攻擊透過大量網路層封包,如 ICMP、原始 IP 或畸形分片,耗盡頻寬與路由設備資源,導致整體網路或服務不可達。


目錄

➤什麼是第三層 DDoS 攻擊
 ➤什麼是 OSI 模型第三層
 ➤第三層 DDoS 攻擊如何運作
 ➤常見的第三層 DDoS 攻擊種類
 ➤Skycloud 如何防禦第三層 DDoS 攻擊


什麼是第三層 DDoS 攻擊


 DDoS 分散式阻斷攻擊 會試圖利用大量的資料流量壓垮攻擊目標,造成目標網站伺服器的服務中斷,以達到攻擊的目的。

 第三層 DDoS 攻擊,是以 OSI 模型中的「第三層(Layer3/L3) 網路層」作為攻擊目標,攻擊者會透過大量的網路層封包,如大量 IP/ ICMP 封包或畸形分片,淹沒目標的路由器、交換器或邊界連線,消耗頻寬或路由資源,導致網路無法正常轉發合法流量,最終造成服務中斷或連線不可達的目的。

 第三層 L3 攻擊的目的是讓程式、服務、電腦或網路的運行變慢或使其崩潰,或者填滿容量,讓其他人都無法接收服務,L3 DDoS 攻擊通常會針對網路設備基礎結構來進行攻擊。

第三層 DDoS 攻擊所帶來的影響是...

  • 大量合法流量被擠出(可用頻寬被耗光)

  • 路由器/防火牆/交換器 CPU 或記憶體飽和,導致丟包或回應延遲

  • 上游連線或整個資料中心對外斷線(間接業務中斷)

  • 若未及時區分,會誤觸清洗,造成誤封或影響正常使用者


什麼是 OSI 模型第三層


 OSI 模型是網際網路運作方式的概念模型,從下往上分別是實體層(L1)、資料連結層(L2)、網路層(L3)、傳輸層(L4)、會議層(L5)、展示層(L6)和應用層(L7)。

 OSI 模型第三層是網路層 Network Layer,主要是通訊協定是網際網路通訊協定(Internet Protocol,IP),在資料傳輸時,協定會將IP位置加入傳輸的資料中,並把資料組成封包(Packet),當資料在網路上傳輸時,封包裡面的IP會告訴網路設備這筆資料的來源及目的地,它會找出資料傳送到目的地的最佳實體路徑,當兩個網路互相通訊時,L3網路層則有助於資料傳輸。常見的L3網路層設備為路由器及IP分享器。


第 3 層 DDoS 攻擊和其他層級的攻擊差異

 DDoS 攻擊的目標,通常集中在 L3、L4 和 L7 ,其攻擊存在著差異。L3 是針對頻寬和網路設備、L4 是針對伺服器連線資源,而 L7 則是針對應用程式運算的攻擊。

  • L3 (網路層攻擊)
    以大量 IP 或 ICMP 封包 塞爆頻寬與路由器資源,屬於「粗暴型洪水」,影響整體網路可達性,常見如 ICMP Flood。


  • L4 (傳輸層攻擊)
    利用 TCP/UDP 協定機制 拖垮伺服器,例如 SYN Flood 耗盡連線表、UDP Flood 製造無狀態流量,影響伺服器的連線與穩定性。


  • L7 (應用層攻擊)
    偽裝成正常使用者,發送 HTTP、DNS 或 API 請求,雖然流量不大,但消耗應用計算資源,容易造成網站或服務卡死,典型例子是 CC 攻擊。


第三層 DDoS 攻擊如何運作


 與其他類型的 DDoS 攻擊一樣,攻擊者會透過這些通訊協定傳送大量的網路流量,但第三層 (L3) DDoS 的重點在於「直接針對 IP/網路層」去耗盡頻寬與路由/交換設備的處理能力,而不是針對應用或單一服務的請求。

其運作流程如下:

  1. 偵查目標:
    蒐集目標 IP、網段與上游路由/ISP 資訊,評估哪條鏈路或設備是瓶頸。

  2. 準備發動:
    組成 botnet、租用流量或濫用反射器(放大點) 以取得大量發送源。

  3. 發送/放大封包:
    向目標或反射器發送大量 IP 層封包,來源常被偽造以躲避追蹤。

  4. 耗盡頻寬或設備資源:
    上游鏈路被塞滿(頻寬耗盡),或路由器、防火牆 CPU / 記憶體 / 連線表被飽和,合法流量因此被丟棄或延遲。

  5. 持續或變換策略:
    攻擊者會持續、間歇或更換封包型態以逃避防護與延長破壞。

 其攻擊有效的原因在於頻寬是有限的資源,一旦被填滿,所有流量都受影響,加上網路設備,如路由器或防火牆限制於 CPU/記憶體,面對超大量封包會退化或當機,並且來源偽造與反射放大降低攻擊溯源難度、提高攻擊強度。


常見的第三層 DDoS 攻擊種類


 第三層攻擊多以「頻寬耗盡」或「網路設備資源消耗」為目標,以下是幾個常見的第三層 DDoS 攻擊種類。

ICMP 洪水攻擊

  • 攻擊方式:以大量 ICMP Echo Request (Ping) 封包轟炸目標,迫使網路設備回應。

  • 影響:消耗頻寬與路由器/伺服器的處理能力,導致合法封包延遲或丟失。


Smurf 攻擊

  • 攻擊方式:利用 IP Spoofing 偽造來源 IP,向大量主機發送 ICMP 請求,回應全被導向受害者。

  • 影響:形成巨大的「反射洪水」,迅速耗盡頻寬。


Ping of Death(死亡之 Ping)

  • 攻擊方式:傳送 超大封包(超過協定允許大小)或畸形封包。

  • 影響:在早期系統上會直接造成當機,現代系統雖較安全,但仍可能造成處理資源消耗。


LAND 攻擊

  • 攻擊方式:傳送來源 IP 與目的 IP 相同的封包,讓伺服器陷入「自己打給自己」的狀態。

  • 影響:導致資源無謂消耗,設備可能卡死或重啟。



Skycloud 如何防禦第三層 DDoS 攻擊


 Skycloud 面對第三層(L3) DDoS 攻擊的核心是「在邊緣攔截、分散吸收、快速回應」,以 Anycast 多點分流把攻擊流量導向最近的清洗節點,先在網路層就過濾洪水式封包,避免頻寬與路由設備被填滿,同時結合三層分級清洗(L3 → L4 → L7) 進行過濾,將影響降到最低。


參考資料:Cloudflare|第 3 層 DDoS 攻擊如何運作?| L3 DDoS

延伸閱讀:
哪些網站或系統容易被DDoS攻擊?容易被DDoS攻擊的網站類型風險與防禦
面對 DDoS 攻擊怎麼辦?數發部提出三階段應對建議|騰雲運算DDoS防禦
網路流量是什麼?了解流量與改善網路效能和安全性
ICMP是什麼?ICMP功能、用途與資安風險完整解析
什麼是 Anycast?運作原理、應用場景與 DDoS 防護解析

返回上頁