DDoS 防護策略

Vibe Prompt

「幫我設計多層次 DDoS 防護架構:Cloudflare → AWS WAF → Nginx Rate Limit → 應用層。」

多層防護

Layer 1: Cloudflare (全球 Anycast 網路)
  ├── L3/L4 DDoS 防護
  ├── WAF 規則
  └── Rate Limiting
      ↓
Layer 2: AWS WAF
  ├── SQL Injection 規則
  ├── XSS 規則
  └── IP 黑名單
      ↓
Layer 3: Nginx
  ├── 連接數限制
  ├── 頻寬限制
  └── 地理限制
      ↓
Layer 4: 應用層
  ├── Rate Limiter (Redis)
  ├── CAPTCHA
  └── 帳號鎖定

Cloudflare 設定

# DNS
vibe-tutor.com  CNAME  →  Cloudflare Proxy (橘色雲朵)

# 安全層級
Security Level: High
Challenge Passage: 30 分鐘
Browser Integrity Check: 開啟

# Rate Limiting
規則: 每 IP 每分鐘 100 次請求
動作: JS Challenge
持續時間: 10 分鐘

Nginx 限制

# 連接數限制
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 10;

# 請求頻率限制
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/s;
limit_req zone=one burst=20 nodelay;

# 頻寬限制
limit_rate 1m;

緩解策略

| 手法 | 適用場景 | |------|---------| | Blackhole | 大規模攻擊時,將流量導向空路由 | | Rate Limiting | 應用層攻擊 | | Anycast | 分散流量到全球節點 | | Auto Scaling | 吸收正常流量增加 | | WAF | 過濾惡意請求 |


關鍵要點

  • ✅ 請根據本章主題補充具體的學習重點
  • ✅ 建議加入比較表格、程式碼範例或流程圖
  • ✅ 確保內容扎實且有價值


DDoS:不是能不能被攻擊,而是什麼時候被攻擊

DDoS(分散式阻斷服務攻擊)不是你能不能擋住的問題——它是什麼時候會發生的問題。

根據 Cloudflare 的數據:

  • 2024 年 Q1 最大 DDoS 攻擊達到 1.7 Tbps
  • 平均攻擊頻率:每 5 分鐘一次
  • 中小型網站平均每年被攻擊 3-5 次
  • 一次成功的 DDoS 攻擊造成的平均損失約 $50,000/小時

DDoS 攻擊的三種主要類型

| 類型 | 目標 | 攻擊方式 | |:----:|:----:|:--------:| | 體積型(佔 65%) | 耗盡頻寬 | UDP Flood、ICMP Flood、DNS Amplification | | 協定型(佔 20%) | 耗盡伺服器連線 | SYN Flood、HTTP Flood | | 應用層(佔 15%) | 耗盡應用程式資源 | Slowloris、HTTP 慢速攻擊 |

多層次防禦策略

攻擊流量
    │
    ▼
1️⃣ CDN(Cloudflare、Akamai)
   - 隱藏真實伺服器 IP
   - 吸收體積型攻擊
   - 全球邊緣節點分散流量
    │
    ▼
2️⃣ WAF
   - 過濾惡意 HTTP 請求
   - 速率限制
   - 挑戰(Captcha、JavaScript Challenge)
    │
    ▼
3️⃣ AWS Shield / Azure DDoS Protection
   - 自動啟用 DDoS 緩解
   - 與 CloudFront、ALB 整合
    │
    ▼
4️⃣ Auto Scaling
   - 自動增加資源吸收流量
   - 搭配 ALB 分散負載
    │
    ▼
5️⃣ 應用層最佳化
   - 資料庫查詢快取
   - CDN 邊緣快取靜態資源
   - API 速率限制

下一章預告:從防禦到零信任

DDoS 防護是「擋住壞人進來」。但現代安全思維更進一步——預設不信任任何人,不論是內部還是外部。下一章的 零信任網路架構 (Zero Trust) 將徹底改變你對網路安全的認知。

解鎖完整教學內容

本章為付費內容。加入專案即可解鎖超過 5000 字的深度解析,包含 10 個以上神級 Prompt 與真實 Source Code 範例!