DDoS 防護策略
Vibe Prompt
「幫我設計多層次 DDoS 防護架構:Cloudflare → AWS WAF → Nginx Rate Limit → 應用層。」
多層防護
Layer 1: Cloudflare (全球 Anycast 網路)
├── L3/L4 DDoS 防護
├── WAF 規則
└── Rate Limiting
↓
Layer 2: AWS WAF
├── SQL Injection 規則
├── XSS 規則
└── IP 黑名單
↓
Layer 3: Nginx
├── 連接數限制
├── 頻寬限制
└── 地理限制
↓
Layer 4: 應用層
├── Rate Limiter (Redis)
├── CAPTCHA
└── 帳號鎖定
Cloudflare 設定
# DNS
vibe-tutor.com CNAME → Cloudflare Proxy (橘色雲朵)
# 安全層級
Security Level: High
Challenge Passage: 30 分鐘
Browser Integrity Check: 開啟
# Rate Limiting
規則: 每 IP 每分鐘 100 次請求
動作: JS Challenge
持續時間: 10 分鐘
Nginx 限制
# 連接數限制
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_conn addr 10;
# 請求頻率限制
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/s;
limit_req zone=one burst=20 nodelay;
# 頻寬限制
limit_rate 1m;
緩解策略
| 手法 | 適用場景 | |------|---------| | Blackhole | 大規模攻擊時,將流量導向空路由 | | Rate Limiting | 應用層攻擊 | | Anycast | 分散流量到全球節點 | | Auto Scaling | 吸收正常流量增加 | | WAF | 過濾惡意請求 |
關鍵要點
- ✅ 請根據本章主題補充具體的學習重點
- ✅ 建議加入比較表格、程式碼範例或流程圖
- ✅ 確保內容扎實且有價值
DDoS:不是能不能被攻擊,而是什麼時候被攻擊
DDoS(分散式阻斷服務攻擊)不是你能不能擋住的問題——它是什麼時候會發生的問題。
根據 Cloudflare 的數據:
- 2024 年 Q1 最大 DDoS 攻擊達到 1.7 Tbps
- 平均攻擊頻率:每 5 分鐘一次
- 中小型網站平均每年被攻擊 3-5 次
- 一次成功的 DDoS 攻擊造成的平均損失約 $50,000/小時
DDoS 攻擊的三種主要類型
| 類型 | 目標 | 攻擊方式 | |:----:|:----:|:--------:| | 體積型(佔 65%) | 耗盡頻寬 | UDP Flood、ICMP Flood、DNS Amplification | | 協定型(佔 20%) | 耗盡伺服器連線 | SYN Flood、HTTP Flood | | 應用層(佔 15%) | 耗盡應用程式資源 | Slowloris、HTTP 慢速攻擊 |
多層次防禦策略
攻擊流量
│
▼
1️⃣ CDN(Cloudflare、Akamai)
- 隱藏真實伺服器 IP
- 吸收體積型攻擊
- 全球邊緣節點分散流量
│
▼
2️⃣ WAF
- 過濾惡意 HTTP 請求
- 速率限制
- 挑戰(Captcha、JavaScript Challenge)
│
▼
3️⃣ AWS Shield / Azure DDoS Protection
- 自動啟用 DDoS 緩解
- 與 CloudFront、ALB 整合
│
▼
4️⃣ Auto Scaling
- 自動增加資源吸收流量
- 搭配 ALB 分散負載
│
▼
5️⃣ 應用層最佳化
- 資料庫查詢快取
- CDN 邊緣快取靜態資源
- API 速率限制
下一章預告:從防禦到零信任
DDoS 防護是「擋住壞人進來」。但現代安全思維更進一步——預設不信任任何人,不論是內部還是外部。下一章的 零信任網路架構 (Zero Trust) 將徹底改變你對網路安全的認知。