HTTP洪水攻擊

　HTTP 洪水攻擊(HTTP Flood) 是 OSI 模型第七層應用層(Layer 7) 的 DDoS 攻擊方式，攻擊者會大量發送看似正常的 HTTP 請求，如 GET 或 POST，這些大量的請求會迫使伺服器過度消耗 CPU、記憶體與資料庫連線或查詢資源，最終導致網站變慢甚至癱瘓。

　有些攻擊是利用大量流量塞滿網站或伺服器頻寬，如 UDP Flood、ICMP Flood 或 放大攻擊...等，利用巨量流量把網路通道塞爆，讓正常流量進不來並導致服務當掉的頻寬型 DDoS 攻擊。

　但 HTTP 洪水攻擊不一樣，HTTP洪水攻擊不需要巨量流量和異常封包，它模擬的是「一般使用者的瀏覽行為」，像是重複開啟或刷新網站頁面、大量提交搜尋及登入等POST請求，或者是請求高成本的 API 或資料庫查詢...等，讓伺服器必須逐一處理每個請求，讓資源在短時間內被耗盡。

　HTTP 洪水攻擊最大的困難點在於，它的攻擊流量與正常流量非常相似，導致難以辨識且難以單純用 IP 阻擋，因此常被視為最棘手的 DDoS 手法之一。

　另外，常見的「CC攻擊(Challenge Collapsar) 」其實就是早期華語圈(尤其中國) 對「HTTP 洪水攻擊」的稱呼，兩者概念大致相同，只不過業界有些會更強調應用程式特定防護規則而產生出兩種不同的命名方式。

HTTP 請求是什麼

HTTP 請求(HTTP Request) 是使用者的瀏覽器或應用程式向網站伺服器發送的一段訊息，用來要求取得資料或執行某項動作。

當我們開啟一個網站時，瀏覽器就會主動送出許多 HTTP 請求，像是請求載入網頁內容(HTML)、請求圖片/ CSS/ JS檔案送出登入資訊、傳送搜尋關鍵字，或是呼叫網站後端的 API…等，伺服器收到這些請求後，會依照內容進行處理，並回傳「HTTP 回應(HTTP Response)」。

簡單來說，HTTP 請求就是「使用者對伺服器提出『我要這項資料』或『幫我做這件事』」的一段訊息，而伺服器則會依照請求內容回應結果，這是網站運作最基本的溝通方式。

由於每次發出 HTTP 請求後，伺服器都必須花費資源逐一處理每一個 HTTP 請求，這讓攻擊者可以利用這一點，大量發送請求使伺服器超載，最終導致 DDoS 服務阻斷，而這就是 HTTP 洪水攻擊的原理。

HTTP洪水攻擊原理

　HTTP 洪水攻擊(HTTP Flood) 會大量模擬正常使用者的 HTTP 請求，讓伺服器重複執行最消耗資源的操作，直到無法負荷，最終導致服務過載、癱瘓，讓線上服務不可使用。

　HTTP 洪水攻擊的核心原理有三個，分別是：伺服器必須處理每一個 HTTP 請求、攻擊者發送大量看似正常的請求、請求量遠超伺服器處理能力(資源耗盡)。

➤伺服器必須處理每一個 HTTP 請求
不論是真實的使用者還是惡意的攻擊者操作，只要發出 HTTP 請求(GET、POST…)，伺服器都必須執行相應的流程，比如查詢資料庫、執行後端邏輯、讀取檔案或模板、回應動態內容或 API 資料...等，這些動作都會消耗伺服器資源。

➤攻擊者發送大量看似正常的請求
攻擊者不會發送異常封包，而是發送和正常使用者類似的流量，像是重複請求網站首頁、不斷刷新特定頁面、發送大量 POST 登入或搜尋、模擬隨機瀏覽網站路徑...等，正因為請求看起來正常，所以很難用 IP、封包特徵直接阻擋。

➤請求量遠超伺服器處理能力(資源耗盡)
當大量複雜或重負載的 HTTP 請求同時發生時，會發生 CPU 使用率飆高、記憶體快速耗盡、資料庫連線被占滿、伺服器無法再建立新連線...等狀況，導致網站變慢、API 逾時、合法的正常使用者無法連線、伺服器癱瘓...最終線上服務不可使用。

HTTP 洪水攻擊流程

HTTP 洪水攻擊的執行流程可以分為以下幾個階段。

➤Step 1：攻擊者建立或控制大量裝置
攻擊者會建立一組能大量發送 HTTP 請求的來源，像是殭屍網路(Botnet)、大量代理伺服器(Proxy)、VPS/雲端主機，或是自製流量工具，如 高軌道離子炮(HOIC)、低軌道離子炮(LOIC)或 Slowloris(慢速連線型工具) 等。

➤Step 2：選定攻擊目標與攻擊頁面
為了讓伺服器難以承受，攻擊者會挑選負載最高或伺服器成本最高的網站頁面進行攻擊，例如網站首頁、商品頁、搜尋功能(高 CPU & 資料庫成本)、登入 API 或資料庫查詢 API。

➤Step 3：大量發送看似正常的 HTTP 請求
攻擊開始時，Botnet 或攻擊工具會不斷重複 GET/POST 請求、模擬多樣化 User-Agent/ Referer /路徑，或是模擬正常流量行為(隨機 URL、隨機延遲)，讓這些請求看起來像真人，但實際上的流量卻遠超伺服器的負載能力。

➤Step 4：伺服器被迫逐一處理所有請求
當發出請求後，伺服器就必須做出回應，像是後端程式邏輯(CPU)、讀取資料和檔案(I/O)、查詢資料庫(SQL 查詢)、建立 session、合法回應內容...等，無論是不是攻擊流量，伺服器都需要投入資源進行處理。

➤Step 5：伺服器資源耗盡/ 網站開始異常
當請求量超過伺服器極限時，會出現 CPU 100%、記憶體不足、DB連線被占滿、API 回應逾時、Nginx/Apache 連線數爆滿 或 正常使用者無法連線...等情況，最終導致網站速度變慢、出現大量HTTP錯誤代碼...最終被 DDoS 成功、完成癱瘓目的。

HTTP 洪水攻擊種類

HTTP 洪水攻擊可分成三種類型，分別是：

• 基於請求量(Request-based) 高頻率的強度型

• 基於連線耗盡(Connection-based / Slow HTTP) 慢速消耗資源的低速型

• 基於模擬正常使用者(Behavior-based / Browser-like) 的行為模仿型

強度型洪水攻擊(大量請求型)

基於請求量(Request-based) 高頻率的強度型洪水攻擊，這是最典型也最常見的 HTTP 洪水攻擊，攻擊者會利用殭屍網路，在極短時間內向目標網站送出大量 HTTP 請求，壓垮伺服器或網站應用程式。

【特點】

• 短時間內湧入大量 HTTP GET/POST

• 目標 CPU、RAM、頻寬快速耗盡或資料庫連線被占滿

• 網站前台直接無法回應或延遲極高

【常見方式】

• GET Flood：
  瘋狂刷新相同頁面(反覆對同一URL發送GET)，如此最容易造成網站伺服器 CPU 及 頻寬耗盡。

• POST Flood：
  提交大量表單、登入請求(重複觸發需要後端計算的 API)，讓伺服器因為 POST 需要更多資源而更容易被壓垮。

• 動態頁洪水：
  特意攻擊計算量高的路徑，如 /search、/report、/pricing。

低速型洪水攻擊(低速耗盡)

這類低速型的洪水攻擊不靠大量流量，而是以「非常緩慢但大量」的連線耗盡伺服器連線資源，也就是攻擊者只需要用很少的流量就能癱瘓後端，這屬於 HTTP 洪水攻擊的變種攻擊。

【特點】

• 每個連線都刻意拖延(如幾十秒才送一點資料)

• 伺服器需一直保持連線等待，導致連線池被塞滿

• 流量雖低，但效果強

【常見方式】

• Slowloris：
  建立大量 HTTP 連線，但故意不送完 Header。

• Slow POST / R.U.D.Y.：
  慢速提交大量 POST 資料、伺服器被迫保持連線。

• Slow Read：
  攻擊者「讀取伺服器回覆」速度極慢，導致伺服器的輸出緩衝區被占滿。

行為模仿型

攻擊者利用自動化程式模擬一般使用者行為，使防禦機制更難區分正常流量與攻擊流量，這類型的攻擊會以「看起來像正常瀏覽」來突破管控。

【特點】

• 攻擊請求看起來像人類或正常使用者的操作

• 會隨機切換頁面、點擊路徑、加上正常 User-Agent、Cookie

• 專門躲過 WAF、Bot 管控與 Rate Limit

【常見方式】

• 模擬真實使用者瀏覽行為：不同頁面切換、隨機停頓、滑動行為、節奏與正常使用者相似。

• 使用合法 User-Agent、Referer、Cookie。

• 利用遭感染的家用設備(IoT、PC)使流量更接近正常使用者：來源 IP 分布像一般網路使用者、HTTP 行為也像真的使用者在操作。

常見的HTTP洪水攻擊情境

　HTTP 洪水攻擊通常會鎖定「使用量大、計算成本高的頁面或 API」進行攻擊，在企業營運高峰時段則更容易造成嚴重影響。以下幾個是常見的案例。

電商活動或購物節高峰

周年慶、雙 11、黑色星期五...等促銷活動期間，電商網站本身的流量就已經很高了。這時攻擊者對網站伺服器發送大量 GET 或 POST 請求，針對網站首頁、商品頁、加入購物車或結帳 API 等高負載路徑發動攻擊，導致網站載入速度變慢、使用者體驗變差、部分訂單無法完成、CPU 或資料庫連線耗盡，最終導致網站當機並造成業務損失。

線上遊戲或遊戲平台

當遊戲更新、新活動或排位賽期間，遊戲的伺服器需要處理大量玩家的請求。這時攻擊者對遊戲平台發送大量 GET/ POST 請求，或模擬玩家登入、角色資訊讀取、排行榜查詢...等操作，造成玩家無法登入或連線斷斷續續、排行榜或商店無法正常運作，使伺服器負載過高並影響其他功能，讓遊戲體驗降低、引發玩家不滿或損失。

金融與線上交易系統

銀行、支付平台、證券交易系統...等，在交易高峰期或新功能上線時，往往流量會比以往還要更大，這時攻擊者對平台系統發送大量 POST 請求、API 查詢、登入請求...甚至模擬表單提交，使系統回應延遲、交易失敗、合法顧客無法使用服務，導致金融風險增加，甚至造成損失或信任危機。

政府或公共服務網站

稅務申報、線上投票、申請系統或公告系統...等，會在某些特定時間流量集中，這時攻擊者針對首頁、登入入口或資料查詢頁面發送大量 GET 請求，造成系統當機或回應緩慢，讓民眾無法完成申請或查詢，導致政府及公共服務網站對外形象受損。

新聞媒體或熱門活動網站

線上直播、票務活動期間或是重大新聞事件發生時，新聞媒體網站或平台的流量往往會大增，這時攻擊者開始大量瀏覽首頁、新聞頁面、直播串流 API 或 票務頁面，讓網站載入速度變得極為緩慢、正常使用者無法瀏覽，最終導致活動或直播中斷，影響品牌聲譽。

Skycloud 如何防禦 HTTP 洪水攻擊

　HTTP 洪水攻擊是應用層的 DDoS 攻擊，攻擊者會偽裝成正常的流量並繞過傳統防火牆的防護，對企業網站、平台、系統、API 及 線上服務造成威脅，並對伺服器資源進行消耗，最終導致服務中斷並成功 DDoS。

　Skycloud騰雲運算 能提供多層次防禦機制，結合智能檢測機制、CDN 分流與多層防火牆，有效防範各類 HTTP 洪水攻擊，保障企業線上服務穩定與使用者體驗。

• 智能檢測機制：
  有效辨識、過濾正常流量與惡意攻擊流量，根據網路封包的特徵質，提前偵測異常或不明來源的流量，自動過濾並阻斷連線，提供企業高效且可靠的 DDoS 防禦服務。

• 全球 CDN 與負載分散：
  分散流量至多個節點，降低單點伺服器壓力，提升穩定性。

• 應用層防火牆(WAF)：
  過濾惡意 GET/POST、慢速連線及模擬瀏覽器攻擊。

• 速率限制：
  對短時間內異常請求進行流量控制(Rate Limit)，減少伺服器負載，幫助維持網站穩定性。

• 全方位監控與支援：
  提供 7x24 全方位技術監控與支援與網站流量監控，並在遭受攻擊時即時做出反應。