DDoS 測試指南：如何合法檢測網站的 DDoS 防禦能力（2025）

你花了大量資源部署 DDoS 防護方案，但真的有效嗎？許多企業直到遭受攻擊時才發現，原以為完善的防禦其實存在嚴重漏洞。DDoS 測試是唯一能在真實攻擊發生前驗證防禦能力的方法。

本指南將介紹如何合法進行 DDoS 測試、常用的壓力測試工具、專業測試服務，以及如何根據測試結果優化防禦架構。無論你是自行測試還是尋求專業協助，這些知識都能幫助你確保防禦真正有效。

延伸閱讀：完整 DDoS 防護知識請參考 DDoS 攻擊與防護完整指南

---

為什麼需要 DDoS 測試？

驗證防禦機制是否真正有效

DDoS 防護不是裝了就有效。設定錯誤、規則衝突、容量不足等問題都可能讓防禦形同虛設。實際測試能揭露這些隱藏問題：

常見的防禦失效原因：

• 設定錯誤：WAF 規則過於寬鬆或與應用程式衝突
• 容量不足：防護容量低於可能遭受的攻擊規模
• 盲區存在：某些攻擊類型未被涵蓋（如 L7 攻擊）
• 回應太慢：防禦啟動時間過長，攻擊已造成損害
• 誤判嚴重：合法流量被擋，影響正常使用者

只有透過測試，才能在真實攻擊發生前發現並修復這些問題。

了解系統的承載上限

DDoS 測試能幫助你了解系統的真實極限：

需要了解的指標	為何重要
最大承載 RPS	知道系統能處理多少請求
崩潰臨界點	了解何時會開始失效
恢復時間	攻擊停止後多久恢復正常
瓶頸位置	網路、應用程式還是資料庫先到達極限

這些數據能幫助你做出更好的容量規劃決策。

符合合規與稽核要求

許多產業法規與資安標準要求定期進行 DDoS 防禦測試：

• 金融業：金管會資安規範要求定期資安演練
• ISO 27001：要求測試資訊安全控制措施的有效性
• PCI DSS：要求測試網路安全控制措施
• 政府機關：資通安全管理法要求定期稽核

定期測試並保留紀錄，是符合合規要求的重要環節。

---

合法 DDoS 測試的注意事項

法律風險與責任

DDoS 測試必須謹慎進行，否則可能觸犯法律：

台灣相關法規：

• 刑法第 360 條：妨害電腦使用罪，最高可處 5 年有期徒刑
• 刑法第 358 條：無故入侵電腦罪
• 刑法第 359 條：無故取得、刪除或變更他人電磁紀錄

合法測試的關鍵原則：

1. 只能測試自己擁有或有書面授權的系統
2. 測試前必須通知所有相關方（ISP、雲端供應商、託管商）
3. 限制測試範圍，避免影響共用基礎設施
4. 保留完整測試紀錄與授權文件

⚠️ 警告：未經授權對他人系統進行 DDoS 測試，即使是「安全研究」目的，仍屬違法行為。

測試前的準備工作

完整的測試準備清單：

1. 取得書面授權

測試授權書應包含：
- 測試目標系統的明確範圍
- 測試時間窗口
- 最大測試流量限制
- 緊急聯絡人資訊
- 雙方責任歸屬
- 相關方簽章

2. 通知相關方

需通知對象	通知內容	建議提前時間
ISP	測試時間、預期流量	1-2 週
雲端供應商	測試計畫書	1-2 週
資安團隊	完整測試方案	提前討論
維運團隊	時間與影響評估	1 週
管理層	風險與價值說明	需核准

3. 準備應變計畫

• 緊急停止機制：如何立即終止測試
• 回滾方案：測試造成問題時的恢復步驟
• 通訊管道：測試期間的即時溝通方式

測試環境 vs 正式環境

面向	測試環境	正式環境
風險	低	高
真實性	可能與正式環境有差異	最真實的結果
成本	需額外建置	無額外成本
影響範圍	僅測試環境	可能影響真實使用者
建議時機	初期測試、高風險測試	最終驗證、低風險測試

最佳實務：

1. 先在測試環境進行初步測試
2. 確認測試方法安全後，再於正式環境的維護時段進行
3. 正式環境測試應選擇流量低峰時段
4. 隨時準備中止測試

---

壓力測試工具介紹

Apache JMeter

JMeter 是最普及的開源負載測試工具，適合 L7 應用層測試：

適用場景：

• HTTP/HTTPS 請求測試
• API 端點壓力測試
• Web 應用程式效能測試

基本使用範例：

# 安裝 JMeter（macOS）
brew install jmeter

# 命令列執行測試
jmeter -n -t test-plan.jmx -l results.jtl -e -o report/

簡易測試計畫配置：

<ThreadGroup>
  <stringProp name="ThreadGroup.num_threads">100</stringProp>
  <stringProp name="ThreadGroup.ramp_time">60</stringProp>
  <stringProp name="ThreadGroup.duration">300</stringProp>
</ThreadGroup>

優缺點：

優點	缺點
完全免費開源	圖形介面較耗資源
功能完整	學習曲線中等
社群資源豐富	大規模測試需分散式部署
支援多種協定	測試腳本維護成本

Gatling

Gatling 是以 Scala 撰寫的高效能測試工具，特別適合開發團隊：

特色：

• 測試腳本即程式碼（Test as Code）
• 非同步架構，效能優異
• 自動產生精美報告

基本測試腳本：

class BasicSimulation extends Simulation {
  val httpProtocol = http
    .baseUrl("https://your-website.com")
    .acceptHeader("text/html")

  val scn = scenario("Basic Load Test")
    .exec(http("Home Page").get("/"))
    .pause(1)
    .exec(http("API Call").get("/api/status"))

  setUp(
    scn.inject(
      rampUsers(100).during(60),
      constantUsersPerSec(20).during(300)
    )
  ).protocols(httpProtocol)
}

優缺點：

優點	缺點
效能極佳	需要 Scala 知識
報告精美	學習曲線較高
CI/CD 整合友善	企業版功能需付費
程式碼即測試	非技術人員較難使用

Locust

Locust 是 Python 開發者的首選，用 Python 撰寫測試腳本：

基本測試腳本：

from locust import HttpUser, task, between

class WebsiteUser(HttpUser):
    wait_time = between(1, 3)

    @task(3)
    def view_homepage(self):
        self.client.get("/")

    @task(1)
    def view_api(self):
        self.client.get("/api/status")

    def on_start(self):
        # 模擬使用者登入
        self.client.post("/login", json={
            "username": "test",
            "password": "test"
        })

執行測試：

# 啟動 Locust
locust -f locustfile.py --host=https://your-website.com

# 無頭模式執行
locust -f locustfile.py --host=https://your-website.com \
  --users 1000 --spawn-rate 50 --run-time 5m --headless

LoadRunner（企業級）

Micro Focus LoadRunner 是企業級負載測試解決方案：

特色：

• 支援超過 50 種協定
• 專業級分析報告
• 企業級技術支援
• 完整的測試管理功能

適用場景：

• 大型企業複雜系統測試
• 需要專業報告的合規稽核
• 多協定混合測試

工具比較表

工具	費用	學習曲線	適合場景	L7 測試	分散式測試
JMeter	免費	中等	通用壓力測試	✅	✅ 需設定
Gatling	免費/付費	較高	開發團隊	✅	✅ 企業版
Locust	免費	中等	Python 團隊	✅	✅ 內建
LoadRunner	付費	較高	企業級測試	✅	✅ 完整
k6	免費/付費	低	現代 Web 應用	✅	✅ Cloud

建議：先了解攻擊手法才能設計有效測試，請見 DDoS 攻擊類型完整解析

---

專業 DDoS 模擬測試服務

為何需要專業測試服務？

自建測試能力有其限制：

自建測試限制	專業服務優勢
難以產生大規模流量	可產生數十 Gbps 攻擊流量
只能測試基本攻擊類型	模擬真實的複雜攻擊
缺乏專業分析能力	提供深度分析報告
需要自行維護工具	專業團隊操作
可能影響正式環境	可控的測試環境

適合使用專業服務的情境：

• 企業級 DDoS 防護驗證
• 合規稽核要求的正式測試
• 需要模擬大規模真實攻擊
• 缺乏內部測試專業人力

常見 DDoS 測試服務商

1. NCC Group

• 全球知名資安測試公司
• 提供完整的 DDoS 模擬測試
• 包含詳細的弱點分析報告

2. Rapid7

• 提供 DDoS 彈性測試服務
• 整合弱點掃描與滲透測試
• 完整的修復建議

3. Redbot Security

• 專注於 DDoS 測試
• 可客製化攻擊情境
• 提供即時監控與分析

4. 本地資安廠商

• 台灣有多家資安公司提供 DDoS 測試服務
• 優點：在地支援、了解本地法規
• 建議透過公協會或客戶推薦選擇

測試服務選擇考量

考量因素	評估重點
測試能力	可產生的攻擊類型與規模
專業認證	CREST、OSCP 等資安認證
過往經驗	同產業客戶案例
報告品質	報告是否符合合規需求
保密性	資料處理與保密措施
價格透明	報價是否清楚明確
後續支援	是否提供修復諮詢

---

想進行專業的 DDoS 測試？ 專業的 DDoS 測試需要經驗豐富的資安團隊。預約資安評估，讓我們協助你規劃完整的測試方案。

---

測試結果分析與報告

關鍵效能指標（KPI）

DDoS 測試需要關注以下指標：

1. 可用性指標

指標	說明	目標值
正常運作時間	測試期間服務可用比例	> 99%
錯誤率	HTTP 5xx 錯誤比例	< 1%
服務降級時間	效能明顯下降的時間	最小化

2. 效能指標

指標	說明	典型閾值
回應時間	請求到回應的時間	< 200ms
吞吐量	每秒處理的請求數	依系統設計
並發連線數	同時處理的連線數	依系統設計

3. 防禦指標

指標	說明	評估重點
偵測時間	發現攻擊的時間	< 30 秒
緩解時間	開始阻擋攻擊的時間	< 60 秒
誤判率	合法流量被阻擋的比例	< 0.1%
阻擋率	惡意流量被阻擋的比例	> 99%

如何判讀測試結果

成功的防禦測試應該呈現：

攻擊開始 → 短暫效能下降 → 防禦啟動 → 效能恢復正常
   |           |              |           |
   0s         10s           30s         60s

需要關注的警訊：

• 偵測時間超過 1 分鐘
• 效能下降期間超過 5 分鐘
• 誤判導致大量合法使用者被阻擋
• 防禦啟動後效能仍持續下降

測試報告範本

完整的測試報告應包含：

# DDoS 防禦能力測試報告

## 1. 測試概要
- 測試日期：2025-01-15
- 測試目標：production.example.com
- 測試時長：4 小時
- 授權文件：附錄 A

## 2. 測試情境
| 測試項目 | 攻擊類型 | 流量規模 | 持續時間 |
|---------|---------|---------|---------|
| 測試 1 | HTTP Flood | 10,000 RPS | 30 分鐘 |
| 測試 2 | Slowloris | 5,000 連線 | 30 分鐘 |
| 測試 3 | 混合攻擊 | 複合型 | 60 分鐘 |

## 3. 測試結果摘要
- 整體評等：B+
- 主要發現：L7 攻擊防禦有改善空間

## 4. 詳細分析
[各項測試的詳細數據與圖表]

## 5. 發現問題
| 編號 | 問題描述 | 風險等級 | 建議修復方式 |
|-----|---------|---------|-------------|
| 1 | Rate limiting 閾值過高 | 中 | 調整至 100 RPS |
| 2 | Slowloris 偵測延遲 | 高 | 啟用連線逾時 |

## 6. 改善建議
[詳細的優化建議清單]

## 7. 附錄
- 附錄 A：測試授權書
- 附錄 B：原始數據
- 附錄 C：測試工具設定

---

根據測試結果優化防禦

常見問題與解決方案

問題 1：Rate Limiting 效果不佳

# 優化 Nginx rate limiting
limit_req_zone $binary_remote_addr zone=api:10m rate=10r/s;
limit_req_zone $binary_remote_addr zone=login:10m rate=1r/s;

location /api/ {
    limit_req zone=api burst=20 nodelay;
    limit_req_status 429;
}

location /login {
    limit_req zone=login burst=5;
    limit_req_status 429;
}

問題 2：Slowloris 攻擊防禦不足

# 調整連線超時設定
client_body_timeout 10s;
client_header_timeout 10s;
keepalive_timeout 15s;
send_timeout 10s;

# 限制每個 IP 的連線數
limit_conn_zone $binary_remote_addr zone=conn_limit:10m;
limit_conn conn_limit 10;

問題 3：誤判率過高

• 檢視 WAF 規則是否過於嚴格
• 建立合法流量的白名單
• 調整異常偵測的靈敏度
• 考慮使用機器學習型偵測

更多防禦設定請參考 DDoS 防禦實作教學

建立持續測試機制

DDoS 測試不應只是一次性活動：

建議的測試週期：

測試類型	建議頻率	說明
基本壓力測試	每月	驗證基本防禦能力
完整防禦測試	每季	模擬多種攻擊情境
外部專業測試	每年	第三方獨立驗證
變更後測試	每次變更後	確認變更未影響防禦

自動化測試整合：

# GitHub Actions 定期壓力測試範例
name: Weekly Load Test
on:
  schedule:
    - cron: '0 3 * * 0'  # 每週日凌晨 3 點

jobs:
  load-test:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v3
      - name: Run k6 Load Test
        uses: grafana/[email protected]
        with:
          filename: tests/load-test.js
      - name: Upload Results
        uses: actions/upload-artifact@v3
        with:
          name: k6-results
          path: results/

測試結果的追蹤管理

建立測試結果的追蹤機制：

1. 版本化測試報告：每次測試報告應有版本號與日期
2. 問題追蹤：將發現的問題納入 Issue 追蹤系統
3. 趨勢分析：比較歷次測試結果，觀察改善趨勢
4. KPI 儀表板：建立 DDoS 防禦能力的監控儀表板

企業級測試規劃請見 企業 DDoS 防護方案完整指南

---

總結

DDoS 測試是確保防禦真正有效的必要步驟。重點摘要：

1. 合法測試：只測試自己的系統，取得書面授權，通知所有相關方
2. 選擇工具：根據團隊技術背景選擇 JMeter、Gatling、Locust 或 LoadRunner
3. 專業服務：大規模或合規要求的測試建議使用專業服務
4. 持續改善：建立定期測試機制，根據結果持續優化防禦

記住：未經測試的防禦，等於沒有防禦。

延伸閱讀：

• 回到核心概念：DDoS 攻擊與防護完整指南
• 了解攻擊類型：DDoS 攻擊完整解析：L3/L4/L7 攻擊類型
• 防禦設定教學：DDoS 防禦教學：從基礎設定到進階防護
• 選擇防護服務：DDoS 防護服務比較：Cloudflare、中華電信、AWS Shield
• 企業導入指南：企業 DDoS 防護方案完整指南

---

不確定你的防禦是否足夠？

DDoS 防禦測試需要專業規劃與執行。如果你正在：

• 評估現有 DDoS 防護的有效性
• 需要進行合規要求的資安測試
• 想了解系統的真實承載能力
• 規劃企業級 DDoS 防護方案

預約資安評估，讓專業團隊協助你驗證防禦能力。

所有諮詢內容完全保密，沒有任何銷售壓力。

---