什麼是第七層 DDoS 攻擊

　第七層 DDoS 攻擊，是以 OSI 模型中的「第七層(Layer7/ L7) 應用層」作為攻擊目標，此層的攻擊多屬於「應用層請求型攻擊」，其中最具代表性的 CC 攻擊，就屬於這一層級的 DDoS 攻擊。

　攻擊者會透過大量模擬正常使用者的 HTTP/HTTPS 請求，例如同時發送許多搜尋、登入或資料查詢操作，讓伺服器必須消耗大量 CPU、記憶體或資料庫資源來回應，進而導致網站速度嚴重下降，甚至無法服務真正的使用者。

　與網路層 (L3) 或傳輸層 (L4) 的洪水攻擊不同，第七層攻擊更隱蔽，因為這些請求往往「看似合法」，不像單純的垃圾流量能靠封包特徵輕易阻擋。因此，L7 攻擊通常更難偵測，也更需要依靠 WAF網站應用程式防火牆、行為分析、速率限制 (Rate Limit)、CAPTCHA 驗證...等方式來過濾可疑流量，確保應用層服務不被惡意癱瘓。

第七層 DDoS 攻擊所帶來的影響主要是...

• 伺服器資源耗盡：
  攻擊者透過大量 HTTP/HTTPS 請求，讓伺服器必須處理高昂的計算或資料庫查詢，導致 CPU、記憶體與後端服務資源被耗盡，無法正常回應。

• 網站效能嚴重下降：
  雖然網站仍可連上，但回應延遲大幅增加，常見的現象包括頁面讀取緩慢、頻繁出現 5xx 錯誤，使用者體驗受到嚴重影響。

• 業務中斷與商業損失：
  若攻擊集中於登入、購物車、支付 API 等關鍵功能，會直接造成交易失敗或服務不可用，導致營收損失與品牌信任度下降。

什麼是 OSI 模型第七層

　OSI 模型是網際網路運作方式的概念模型，從下往上分別是實體層(L1)、資料連結層(L2)、網路層(L3)、傳輸層(L4)、會議層(L5)、展示層(L6)和應用層(L7)。

　OSI 模型第七層是應用層 Application Layer，主要負責應用程式處理並提供網路應用服務，這一層的應用程式包括網頁瀏覽器、電子郵件、線上遊戲、即時通訊...等。

第 7 層 DDoS 攻擊和其他層級的攻擊差異

DDoS 攻擊的目標，通常集中在 L3、L4 和 L7 ，其攻擊存在著差異。L3 是針對頻寬和網路設備、L4 是針對伺服器連線資源，而 L7 則是針對應用程式運算的攻擊。

第七層 DDoS 攻擊如何運作

　與第三層和第四層類型的 DDoS 攻擊不同，第七層主要是以「看似合法的請求型要求」進行攻擊，攻擊者會透過應用層協定，如 HTTP/HTTPS、HTTP/2/3、API 請求...等，發送大量請求，第七層攻擊更加注重在「耗盡應用與後端資源」。

　也就是說，攻擊不只是單純灌頻寬或耗盡傳輸層連線表，而是透過大量或精心設計的看似合法請求，例如密集的搜尋/登入請求、複雜資料查詢、慢速上傳或模擬瀏覽器行為，觸發高成本計算、佔滿連線池或耗盡資料庫/後端資源，進而讓 WAF、負載均衡器與應用伺服器無法為真正使用者提供服務。

　這類攻擊隱蔽且難以以單一流量閘道過濾，通常需結合行為分析、速率限制與應用層防護來緩解。其運作流程如下。

1. 偵察
   攻擊者先檢查目標的公開 endpoint，例如 /login、/search、/checkout、API 路徑，分析哪些路徑會觸發較高的 CPU、IO 或 DB 負載，或哪些需要較多伺服器邏輯處理。




2. 建立攻擊兵力
   攻擊者透過殭屍網路、租用代理或伺服器群組，取得大量分散來源或少數長連線來源來發送請求，以增強分散性與抗封鎖能力。




3. 產生「看似合法」請求
   使用真實的 HTTP 標頭、Cookie、Referer…甚至執行 JavaScript 的 headless 瀏覽器來模擬真人行為，發送大量 GET/POST、複雜查詢或觸發重運算的請求，請求通常針對高成本 endpoint，如搜尋、報表、登入、交易...或會造成後端重度查詢的 API。




4. 耗盡應用或後端資源

• 佔滿 web 伺服器的連線池或 worker threads → 新連線被拒絕或排隊變慢。

• 觸發昂貴的 DB 查詢／長時間 I/O → 資料庫延遲、鎖表或 backlog 增加。

• 高 CPU 負載(複雜運算、加密處理) 或記憶體消耗(大型回傳、緩存命中率下降)。




5. 躲避偵測

• 變換來源 IP、利用大量不同 ASN/Region。

• 模擬合法瀏覽器 header、慢速或間歇式請求以避開速率閾值。

• 使用 HTTP/2 或 QUIC(HTTP/3) 多路複用特性增加並發性。




6. 持續/升級
   如果初期策略無效，攻擊者可能改變觸發路徑、提高請求複雜度、或同時混合 L3/L4 洪水來擴大破壞面向。

常見的第七層 DDoS 攻擊類型

　第七層攻擊重點在於「耗盡應用與後端資源」，也就是用看似合法的請求去觸發高成本處理、佔滿連線或耗盡資料庫/應用資源，讓真正使用者無法取得服務。

【HTTP 洪水攻擊】

• 攻擊方式：大量發送合法格式的 HTTP GET 或 POST 請求直接打向網站頁面或 API。

• 影響：origin 必須處理大量請求，CPU、記憶體與 I/O 飆高，回應延遲與 5xx 錯誤增加。

【CC 攻擊】

• 攻擊方式：針對特定頁面或功能，例如商品頁、搜尋、登入...等，反覆或高頻請求，模擬真實使用者行為以逃避簡單封鎖。

• 影響：應用層 worker / 連線池被佔滿，關鍵功能無法使用，真正使用者體驗與業務流程中斷。

【Slowloris攻擊】

• 攻擊方式：建立大量連線後以極慢速度送出 HTTP 標頭或維持半開請求，使伺服器保持連線但不完成請求。

• 影響：佔滿伺服器可用連線槽或 worker，導致新連線被拒絕或長時間排隊，服務可用性下降。

【R.U.D.Y. 攻擊】

• 攻擊方式：發送大型 POST/上傳請求但以極慢速率上傳 body，使伺服器長時間等待並持續分配處理資源。

• 影響：POST 處理緒被佔用、I/O 與記憶體負載上升，容易造成後端積壓與請求超時。

Skycloud 如何防禦第七層 DDoS 攻擊

　第七層 DDoS 攻擊往往偽裝成正常流量，讓傳統防火牆或僅靠頻寬清洗難以有效阻擋。

　Skycloud 採用 CDN 邊緣節點快取 分散與過濾流量，並透過 WAF 智能規則、速率限制與行為分析 準確辨識惡意請求，降低伺服器和資料庫的負載，同時，我們提供 7x24 在地技術支援 與 即時流量監控，一旦偵測到異常流量，能迅速啟動防禦與調度機制，確保網站功能不中斷。

　藉由多層縱深防護，Skycloud 能幫助企業在面對最隱蔽、最棘手的第七層攻擊時，依然維持穩定、安全的服務品質。