什麼是高軌道離子炮 (HOIC)

　高軌道離子炮(High Orbit Ion Cannon, HOIC) 是一款開源的 DDoS 攻擊工具，主要用於對網站或伺服器發送大量 HTTP 請求，以造成流量壓力或資源耗盡，導致線上服務無法正常運作。

　高軌道離子炮(HOIC) 是 低軌道離子炮(LOIC) 的升級版本，操作簡單、易用且攻擊威力之高，是讓幾乎沒有技術知識的使用者都能發起 DDoS 攻擊的一款工具。不過相較於舊版本的 低軌道離子炮(LOIC)，升級版本的 高軌道離子炮(HOIC) 能支援多個目標同時攻擊，並可搭配被稱為 Booster 的腳本強化攻擊，Booster 能自動變化請求內容、標頭和路徑，使流量更難被防火牆或 WAF應用程式防火牆 以單一特徵封鎖。

　高軌道離子炮(HOIC) 這款 DDoS 攻擊工具，從設計之初就被定位為一款「簡單易用的攻擊工具」，它的功能、介面與擴充機制(如Booster) 都明確聚焦在產生大量且多樣化的 HTTP 請求，以癱瘓目標服務為目的。這與 低軌道離子炮(LOIC) 早期曾被視為網路壓力測試應用程式的定位不同，LOIC 最初的用途較偏向測試伺服器承載量，但在流出社群後逐漸被濫用於攻擊；而 HOIC 從一開始就沒有壓力測試的定位，而是直接設計為高威力的洪水攻擊工具。

　在 DDoS 攻擊歷史上，高軌道離子炮(HOIC) 曾被多個社群運動與駭客組織使用，是網路抗議與攻擊事件中較知名的工具之一。2012 年，駭客組織 Anonymous 利用了 高軌道離子炮(HOIC) 對音樂、電影產業相關的網站發動大規模 DDoS 攻擊，其目的是為了對抗網路審查與反盜版組織(如 RIAA、MPAA)。

　另外，高軌道離子炮(HOIC) 本身並沒有任何隱匿 IP 的功能，也就是說 HOIC 不會隱藏使用者 IP，因此在使用 高軌道離子炮(HOIC) 進行攻擊時，攻擊者的來源 IP 極易被記錄、追蹤與採證，而這也是早期許多使用 低軌道離子炮(LOIC) 和 高軌道離子炮(HOIC) 的 駭客組織Anonymous 支持者被警方逮捕的主要原因之一。

高軌道離子炮(HOIC) 攻擊原理

　高軌道離子炮(HOIC) 的核心攻擊方式是 HTTP洪水攻擊(HTTP Flood)，它透過大量、持續且高頻率的 HTTP 請求，迫使網站伺服器消耗大量 CPU、記憶體及連線資源，最終導致服務變慢甚至無法回應。其原理可分為以下幾類。

➤大量發送 HTTP 請求(HTTP Flood)

高軌道離子炮(HOIC) 同時向目標網域發送大量 GET 或 POST 請求，形成巨量流量，讓網站伺服器必須不斷處理與回應，快速造成資源耗盡與服務中斷。

➤強制佔滿網站伺服器資源

每個 HTTP 請求，都需要伺服器執行流程，如路由、程式運行、資料庫查詢...等，當大量惡意請求湧入時，會導致 CPU 負載飆高、記憶體被耗盡、線程與連線資源被佔滿...最終導致正常使用者無法訪問網站。

※其實，高軌道離子炮(HOIC) 只是一個發動 DDoS 攻擊的「工具」，它的本質就是 HTTP洪水攻擊(HTTP Flood)，HOIC 沒有使用新的攻擊原理，只是透過工具強化請求量、目標數量與隨機化，使攻擊更有效、更難被防禦。

➤多目標同時攻擊

不同於 低軌道離子炮(LOIC) 只能攻擊單一目標(一個攻擊者一次只能打一個網站)，高軌道離子炮(HOIC) 能支援一次向多個網站或伺服器發動攻擊(一個攻擊者一次可以攻擊多個網站)，大幅提升整體攻擊量。

➤利用 Booster scripts 增強攻擊

高軌道離子炮(HOIC) 可載入稱為 Booster 的腳本，讓攻擊更複雜、更難被封鎖。 Booster 能夠做到 隨機化 User-Agent、HTTP 標頭、參數，並在請求 URL 加上不同路徑或 Query String(查詢字符串) 還能模擬不同瀏覽器或來源，這使得流量更像真實使用者行為，不易被傳統防火牆或簡單的規則阻擋。

※Booster 是一種擴充腳本，也就是一種攻擊增強的外掛程式，用來強化 DDoS 攻擊的效果，讓流量更像真實使用者、變化更大，有效提升破壞能力。

➤依賴群眾協作的流量放大

高軌道離子炮(HOIC) 本身並沒有放大攻擊的功能與作用，它的「流量放大」完全依賴大量使用者(攻擊者)同時啟動高軌道離子炮(HOIC)，這種「多人同時啟動」的方式，能形成類似殭屍網路的大量分散式流量，造成真正的 DDoS 攻擊。

起初在發明這項工具時，其設計目的就是給群眾攻擊的工具，而不是單人專用的工具，例如駭客組織 Anonymous 當時就是把 高軌道離子炮(HOIC) 發給社群成員，大家一起開，形成巨大 DDoS。這已經不只是「人越多越大」，而是工具本身的設計就是為了讓群眾合作、同步攻擊加倍有效。

高軌道離子炮(HOIC) 攻擊流程

Step 1：選擇攻擊目標
攻擊者在 高軌道離子炮(HOIC) 介面中輸入一個或多個目標網址(URL或IP)，它的特色就是可以同時新增多個目標，提高攻擊面。

Step 2：設定攻擊強度與模式
選擇攻擊強度 Low、Medium 或 High，這決定了 高軌道離子炮(HOIC) 發送 HTTP 請求的密度與速度。

Step 3：套用 Booster
攻擊者可以套用 Booster 腳本，用於隨機更換 User-Agent、變動 HTTP Header 和 修改請求格式，其目的在於增加攻擊流量的多樣性，使其更難被 WAF、Rate Limiting 阻擋。

Step 4：多線程產生大量 HTTP 請求
啟動攻擊後，高軌道離子炮(HOIC) 開始同時建立大量線程、持續向目標送出 HTTP GET/POST 請求，且在多目標情況下，流量會平均或依設定分配。這些請求通常無實際意圖(不等資料、不下載內容)，且僅為占用目標資源、頻寬與 CPU。

※高軌道離子炮(HOIC) 並無反射或放大能力，因此真正的「放大」來自「多人同時間啟動」，並且每個人都可攻擊多個目標，若再配合 Booster 則可讓流量更難辨識，而這會形成龐大的 DDoS 流量，淹沒目標伺服器。

Step 5：目標遭到服務降速、資源耗盡或癱瘓
最終目標會導致網站反應極慢(延遲增加)、HTTP 連線數滿載、網站伺服器 CPU或記憶體耗盡，最終達成完全無法回應正常使用者的 DDoS 攻擊目的。

如何防止高軌道離子炮(HOIC) 攻擊？

　高軌道離子炮(HOIC) 屬於典型的 HTTP 洪水攻擊(Flood) DDoS 工具，攻擊集中在 OSI 模型 的第七層(L7)，也就是應用層。由於 HOIC 攻擊大量模擬合法 HTTP 請求，因此若僅單靠傳統防火牆或第 3/4 層防護，往往無法有效阻擋。

　因此，防護高軌道離子炮(HOIC)攻擊，應該聚焦在第七層應用層的多重策略。

1. 行為分析：
   偵測異常 HTTP 請求行為，例如同一 IP 短時間內大量 GET/POST、重複或異常 Header。

2. DDoS 防護與流量清洗：
   使用 CDN 或專業 DDoS 防護服務，將惡意流量在邊緣網路清洗，避免直接打到源站。

3. WAF 規則：
   透過 WAF網站應用程式防火牆 阻擋異常請求、啟用 Bot 管理、CAPTCHA 驗證或要求 Session/Token 驗證。

4. 速率限制：
   針對單 IP、單 URI 或特定行為模式設置請求上限，限制瞬間洪水攻擊的流量。

5. 架構冗餘與擴充：
   部署多台 Web Server、負載均衡、反向代理與快取，或使用雲端 Auto Scaling，分散負載，提高系統對大流量攻擊的承受力。

　綜合以上策略，則可以有效降低 高軌道離子炮(HOIC) HTTP Flood 對網站的破壞力，即便攻擊者透過群眾協作產生高流量，也能保持服務穩定。