【DDoS攻擊】什麼是 洪水攻擊?Flood 攻擊原理、種類與防禦方法|Skycloud
洪水攻擊(Flood Attack) 是一種最常見、也最具破壞力的 DDoS 攻擊形式,攻擊者透過大量惡意流量淹沒目標系統,導致網站癱瘓、服務中斷,甚至造成營收損失與品牌信任受損。常見的攻擊類型包括 SYN Flood、UDP Flood、ICMP Flood 與 HTTP Flood,分別針對不同網路層級發動衝擊。
➤洪水攻擊是什麼?
➤洪水攻擊運作原理
➤常見洪水攻擊種類
➤洪水攻擊造成的影響
➤Skycloud 如何防禦洪水攻擊
➤總結
洪水攻擊是什麼?
在進行網路安全防禦、攻防演練或壓力測試時,常常會聽到「洪水攻擊(Flood Attack)」這個名詞,那麼這是什麼意思?
所謂「洪水攻擊」顧名思義,就是攻擊者像「放水一樣」釋放出大量的封包或請求,讓伺服器、網路設備或應用程式被流量淹沒,導致系統過載、延遲、甚至癱瘓。
這種洪水攻擊方式,是常見的 DDoS 分散式拒絕服務攻擊,它是一種以流量耗盡資源為目的的攻擊手法,攻擊者不依賴系統漏洞或入侵方式,而是只要透過數量龐大的封包與請求,就能讓目標系統無法正常回應合法使用者的需求。
比如,一台網站伺服器同時只能處理一萬個請求,但攻擊者透過殭屍網路在短時間內送出數百萬個封包,結果就是伺服器忙於應付假流量,真正的使用者卻完全無法開啟網站。
簡單來說,我們可以理解成「大量假流量造成伺服器淹沒」,因此就稱為「洪水」攻擊。
洪水攻擊運作原理
洪水攻擊的運作原理主要是:攻擊者會透過殭屍網路或代理節點,產生大量封包或請求,接著目標伺服器必須處理這些流量,導致 CPU、記憶體或頻寬被佔滿,如此即可導致真實使用者的請求無法被正常處理,造成服務中斷。洪水攻擊的主要特色就在於它不一定包含惡意代碼,而主要是依靠「流量壓力」進行攻擊,攻擊流量可達數百 Gbps 甚至 Tbps,並且洪水攻擊常與放大攻擊或反射攻擊結合使用。
流量來源:如何產生大量流量?
殭屍網路(Botnet):
攻擊者控制大量被入侵的裝置,如家用路由、IoT、受感染主機,同時發起請求,造成分散式流量(DDoS)。反射放大(Reflection & Amplification):
攻擊者向公開的伺服器(例如 DNS、NTP、Memcached)發送偽造來源位址為受害者的請求,這些伺服器再把大回應「反射」到受害者,放大倍數可達數十到數千倍。單一來源:
直接從單一高頻寬主機發送大量封包,多用於測試或受限攻擊,不過這種單一來源的情形較為少見。
封包/請求的「類型」決定耗盡哪種資源
頻寬耗盡(Bandwidth):
大量資料封包,例如 UDP Flood、ICMP Flood..等,佔滿外部連線容量,使合法流量無法通過。連線/狀態表耗盡(State Table):
像 SYN Flood 會開很多半開 TCP 連線,耗盡伺服器或防火牆的連線追蹤表,導致新連線被拒絕。CPU / 記憶體耗盡:
複雜或需要大量處理的請求,例如大量動態 HTTP 請求、繁重的 API 呼叫,迫使伺服器反覆進行運算或維持大量 session,消耗計算資源。應用層資源耗盡:
模擬真實使用者行為的 HTTP Flood 或 CC 攻擊會耗盡伺服器的應用層資源,如資料庫連線、工作執行緒、緩存失效...等。
典型攻擊流程
攻擊者準備或租用大量來源 (botnet 或虛擬機)。
設定攻擊工具,如:目標 IP、協定、封包速率、封包大小、是否偽造來源。
同步向目標發送海量封包或請求(秒級、分級暴增)。
伺服器/網路裝置開始耗盡頻寬、CPU、連線表或 I/O 資源。
正常用戶請求延遲或無法建立連線;服務出現 5xx、超時或直接無回應。
為什麼有些洪水很難被發現或阻擋?
分散來源:
數千、數萬台裝置同時發攻擊,單一來源速率低、不容易被阻斷。模仿正常行為:
應用層攻擊使用真實的合法請求模式,像是有 cookies、隨機 UA、執行 JavaScript…等,讓純封包基準或簡單 IP 黑名單失效。放大與反射:
攻擊看起來像是來自大量第三方合法伺服器(非攻擊者本身),難以直接封鎖來源。資源配比複雜:
不同服務瓶頸不同,如:網路設備、應用伺服器、資料庫...等,單一防禦措施常無法全面阻斷。
常見洪水攻擊種類
洪水攻擊(Flood Attack) 並不是 DDoS的單一攻擊手法,而是一個泛稱,洪水攻擊可以根據攻擊目標所在的 OSI 層級與使用的協定不同,可以分成 網路層、傳輸層、應用層 等多種形式的洪水攻擊手法。以下是幾種常見的洪水攻擊種類。
ICMP Flood (Ping Flood)
ICMP 洪水攻擊 屬於第三層網路層(Layer 3) 的攻擊,其攻擊方式是攻擊者持續向目標發送大量 ICMP Echo Request (Ping)封包,迫使目標伺服器回應 Echo Reply,最終造成頻寬與 CPU 資源被 ICMP 封包塞滿,導致網路延遲或封包遺失。
如果要用生活情境比喻,那就像是電話客服被人連續打進上千通空號電話,導致真正要詢問的客戶打不進來。
UDP Flood
UDP 洪水攻擊 屬於第四層傳輸層(Layer 4) 的攻擊,其攻擊方式是攻擊者向隨機的 UDP 埠發送大量封包,使目標伺服器不斷檢查該埠是否開啟,並回傳 ICMP「不可達」回應,結果造成頻寬、CPU 與記憶體資源耗盡。
UDP 洪水攻擊的攻擊特點在於 UDP 是無連線協定,因此伺服器無法簡單辨別封包真偽,並且常被用於放大攻擊,例如 DNS、NTP、Memcached 放大攻擊。
延伸閱讀:【DDoS攻擊】UDP 洪水攻擊是什麼?
SYN Flood
SYN 洪水攻擊 屬於第四層傳輸層(Layer 4) 的攻擊,其攻擊方式是攻擊者持續發送 TCP SYN 封包,伺服器回應 SYN-ACK 後,等待最後的 ACK,但攻擊者永遠不回覆或使用偽造來源位址,結果伺服器的「半開連線」累積,連線表資源被佔滿,導致無法接受新的合法連線。
用比喻來說的話,就像餐廳收到大量「假訂位」,每桌都被預留,真正的客人卻進不來。
延伸閱讀:【DDoS攻擊】SYN 洪水攻擊是什麼?
ACK Flood
ACK 洪水攻擊 屬於第四層傳輸層(Layer 4) 的攻擊,其攻擊方式是攻擊者發送大量 TCP ACK 封包,混淆伺服器或防火牆的狀態表,使其誤以為有大量活躍連線,結果導致設備 CPU 過載或狀態表爆滿。
ACK 洪水攻擊的特點是它通常用於干擾防火牆與 IDS/IPS 的連線追蹤功能。
HTTP Flood
HTTP 洪水攻擊,是屬於第七層應用層(Layer 7) 的攻擊,其攻擊方式是攻擊者模擬正常使用者行為,發送大量合法的 HTTP GET 或 POST 請求,請求頁面、圖片或 API,結果造成 Web 伺服器或應用程式需反覆生成動態內容或查詢資料庫,導致 CPU 與後端資源耗盡。
其特色在於它的流量看似正常,卻難以用傳統封包特徵過濾;如果要做比喻,就像上千位假顧客同時進入網站,不斷刷新頁面,讓真正的使用者卡在讀取畫面。
混合型洪水攻擊
混合型洪水攻擊是現代 DDoS 攻擊的常見型態,攻擊更具彈性和隱蔽性,它的攻擊層級屬於多層級的攻擊,包含第三層(L3)、第四層(L4) 和第七層(L7),其攻擊方式在於攻擊者會同時結合多種洪水攻擊的手法,例如先以 UDP Flood 塞滿頻寬,再發動 HTTP Flood 造成伺服器超載。
混合型洪水攻擊,由於混合了三、四、七層的攻擊,因此讓防禦設備與網路同時承受壓力,加上合型洪水攻擊的隱蔽性高,流量峰值可能低於單一攻擊峰值,但長時間持續,防禦難度更大。
反射放大攻擊
反射型放大攻擊的攻擊層級主要是第三層網路層(L3) 和 第四層傳輸層(L4),攻擊方式是攻擊者向第三方伺服器(如 DNS、NTP、Memcached) 發送小型請求,偽造來源為受害者 IP,伺服器回傳數倍甚至數千倍的回應流量給受害者,導致受害者在短時間內收到龐大回應流量,被流量「放大」淹沒。
比如,DNS 放大攻擊的放大倍數約 28~54 倍,而 Memcached 放大攻擊則可放大超過 10,000 倍,攻擊者利用第三方伺服器,自己幾乎不消耗資源即可放大攻擊威力。
洪水攻擊類型對照表
| 攻擊類型 | 層級 | 攻擊對象 | 攻擊方式 | 主要影響 |
|---|---|---|---|---|
| ICMP Flood | L3 | 網路頻寬 | 傳送 Ping 封包 | 頻寬耗盡 |
| UDP Flood | L4 | 伺服器端口 | 發送隨機 UDP 封包 | 頻寬與 CPU 過載 |
| SYN Flood | L4 | TCP 連線表 | 不完成三次握手 | 連線資源耗盡 |
| ACK Flood | L4 | 防火牆、伺服器 | 發送 ACK 封包 | 狀態表被佔用 |
| HTTP Flood | L7 | 應用伺服器 | 模擬正常請求 | 應用層資源耗盡 |
| 混合攻擊 | L3–L7 | 全層級 | 結合多種洪水手法 | 防禦困難 |
| 反射放大 | L3–L4 | 受害者頻寬 | 偽造來源反射封包 | 流量倍增衝擊 |
洪水攻擊造成的影響
洪水攻擊的核心在於「大量流量淹沒目標」,但其影響不僅是伺服器癱瘓,還會波及網路、應用和業務。
【網路與基礎設施】
大量封包塞滿頻寬,使合法流量無法通過。
路由器、防火牆與交換器 CPU 飽和或狀態表爆滿,甚至當機。
網路延遲增加,封包丟失,使用者訪問變慢或中斷。
【伺服器與應用層】
CPU、記憶體耗盡,伺服器無法處理新的請求。
TCP 連線表被占滿(如 SYN Flood),新連線無法建立。
HTTP Flood 或高頻 API 請求導致資料庫或應用過載,產生服務中斷。
【業務與使用者體驗】
電商、金融或訂票平台交易中斷,直接造成營收損失。
使用者訪問延遲或失敗,降低對網站或品牌的信任感。
長期或反覆攻擊會增加營運成本,包括擴容、防禦與流量清洗支出。
【長期技術與安全影響】
長期高負載會加速設備老化或增加故障風險。
攻擊掩護下,駭客可能同步嘗試入侵或掃描漏洞。
防禦策略需要不斷調整,增加安全管理負擔。
簡單來說,洪水攻擊會透過大量惡意流量淹沒網路與伺服器,導致網站或服務無法正常運作,使用者訪問受阻,甚至造成業務中斷與營收損失。
Skycloud 如何防禦洪水攻擊
DDoS 防禦服務涵蓋 網路層、伺服器層與應用層,能同時防禦 SYN Flood、UDP Flood、HTTP Flood 等各種洪水攻擊;透過流量分析與異常檢測,可即時識別惡意流量並自動阻擋。
【流量清洗與分散】
當洪水攻擊發生時,攻擊流量會自動導向 清洗中心,過濾掉惡意封包後再回傳合法流量,尤其是Skycloud 獨創的三層清洗技術,能降惡意流量清洗到最乾淨。同時再透過 全球 Anycast 與 CDN 節點分散,減少單一伺服器或網路節點的壓力,保障服務不中斷。
【自動化與即時防禦】
系統利用 行為分析與機器學習,能快速偵測洪水攻擊模式,並自動啟動防禦規則,這表示企業無需手動干預,就能在攻擊初期即降低影響,縮短中斷時間。
【彈性與專業支援】
DDoS 防禦服務提供彈性擴充能力,能因應攻擊規模快速增加資源。同時,專業技術團隊提供 全天候監控與支援,確保企業在遭受洪水攻擊或混合型攻擊時,有可靠的防護策略與應對方案。
從 DDoS 防禦服務廠商的角度,防禦洪水攻擊不再只是設備配置問題,而是結合 即時監控、流量清洗、自動化防禦與專業支援 的整體解決方案。透過DDoS防禦服務,企業能在洪水攻擊來襲時保持網站穩定、用戶體驗順暢,並降低營運與品牌損失的風險。
若企業希望建立長期穩定的防禦體系,建議導入具備全球清洗節點與智能分析能力的 DDoS 防禦服務,如 Skycloud,能在攻擊發生的第一時間啟動防護,確保服務不中斷。
總結
洪水攻擊是一種透過大量流量或封包淹沒目標系統的攻擊手法,可能導致網路頻寬耗盡、伺服器資源耗盡、網站或服務中斷,進而影響使用者體驗與企業營收。
面對持續演化的洪水攻擊,企業唯有建立多層次、即時化的防禦體系,結合流量清洗、異常分析與自動化防禦,才能確保服務穩定不中斷!Skycloud 以專業的 DDoS 防禦與全球清洗架構,協助企業從「防不住」邁向「不中斷」,守護網站與品牌的穩定營運。
騰雲運算的 DDoS/CC 防禦服務,為您的網路業務提供強大的安全保障,立即點擊下方按鈕,與我們聯繫,預約體驗騰雲運算專業的防禦能力。
延伸閱讀:
✔DDoS懶人包|帶你了解常見的DDoS攻擊手段與DDoS防禦策略!
✔什麼是流量清洗?流量清洗服務原理、抵擋DDoS的方法報你知!
✔哪些網站或系統容易被DDoS攻擊?容易被DDoS攻擊的網站類型風險與防禦
✔DDoS 對企業造成的損失|DDoS 攻擊急速增長,企業損失與防禦成本逐年飆升
✔【DDoS防禦推薦】台灣購買 Anti-DDoS 服務如何選擇?6家廠商比較