CDN 與 DDoS 防護:3 層機制保護你的網站安全
CDN 與 DDoS 防護:3 層機制保護你的網站安全
2024 年全球 DDoS 攻擊次數較前一年增長 46%,平均每 3 分鐘就有一次攻擊發生。對於網站經營者而言,DDoS 防護已從「可選」變成「必備」。好消息是,現代 CDN 服務都內建了 DDoS 防護功能,本文將深入解析 CDN 如何保護你的網站免受攻擊。
擔心網站安全?如果你不確定現有的防護是否足夠,可以預約資安評估,讓我們幫你檢視潛在風險。
DDoS 攻擊是什麼?
DDoS 的定義
DDoS(Distributed Denial of Service,分散式阻斷服務)攻擊是指駭客利用大量受控制的電腦(殭屍網路)同時向目標伺服器發送請求,使其無法正常服務。
想了解更多 CDN 的基礎概念,可以參考我們的完整指南。
DDoS 攻擊類型
DDoS 攻擊可分為三個層級:
| 類型 | OSI 層級 | 攻擊方式 | 典型手法 |
|---|---|---|---|
| Volumetric | Layer 3/4 | 大量流量淹沒 | UDP Flood、ICMP Flood |
| Protocol | Layer 3/4 | 消耗協議資源 | SYN Flood、Ping of Death |
| Application | Layer 7 | 模擬正常請求 | HTTP Flood、Slowloris |
Layer 3/4 攻擊特徵:
- 流量巨大(可達數 Tbps)
- 容易偵測(流量異常明顯)
- 需要大量頻寬來吸收
Layer 7 攻擊特徵:
- 流量較小但更難防禦
- 模擬正常使用者行為
- 需要智慧分析才能識別
描述:DDoS 攻擊類型示意圖,分為三層顯示 Layer 3(網路層)、Layer 4(傳輸層)、Layer 7(應用層)的攻擊類型和特徵 構圖:垂直三層結構、每層標示攻擊類型和圖示 -->
DDoS 攻擊的危害
根據我們處理資安事件的經驗,DDoS 攻擊可造成:
| 損害類型 | 影響 |
|---|---|
| 服務中斷 | 網站無法存取,使用者流失 |
| 營收損失 | 電商每小時損失可達數十萬 |
| 品牌信譽 | 客戶對服務穩定性失去信心 |
| 員工壓力 | 緊急應變耗費大量人力 |
| 衍生攻擊 | DDoS 可能是更大攻擊的煙幕彈 |
為什麼網站會被攻擊
常見的攻擊動機包括:
- 商業競爭:打擊競爭對手的服務
- 勒索:要求支付贖金才停止攻擊
- 政治/社會議題:針對特定立場的組織
- 練習場:駭客測試新工具
- 轉移注意力:掩護其他入侵行為
CDN 如何防護 DDoS?
CDN 天生就具備抵禦 DDoS 攻擊的能力,這源於其分散式架構設計。
流量分散與吸收
CDN 的第一道防線是將攻擊流量分散到全球節點:
運作原理:
- 攻擊者發動攻擊
- DNS 將請求路由到多個 CDN 節點
- 每個節點只承受部分流量
- 即使單一節點過載,其他節點仍正常運作
舉例說明: 假設攻擊流量為 100 Gbps:
- 沒有 CDN:你的伺服器需要承受 100 Gbps
- 有 CDN(100 個節點):每個節點平均只需處理 1 Gbps
這就是為什麼即使是免費的 CDN 也能提供基礎的 DDoS 防護。
智慧流量清洗
現代 CDN 會分析流量特徵,識別並過濾惡意請求:
清洗機制:
| 技術 | 說明 |
|---|---|
| 速率限制 | 限制單一 IP 的請求頻率 |
| 行為分析 | 識別非人類的請求模式 |
| 信譽系統 | 根據 IP 歷史記錄評分 |
| 挑戰驗證 | 要求完成 CAPTCHA 或 JS Challenge |
| 特徵比對 | 比對已知攻擊的流量特徵 |
清洗流程:
攻擊流量 → CDN 邊緣節點 → 流量分析 → 惡意流量丟棄
↓
合法流量 → Origin Server
邊緣節點阻擋
CDN 在邊緣節點就阻擋攻擊,確保惡意流量永遠不會到達你的伺服器:
好處:
- 你的伺服器 IP 被隱藏
- Origin Server 完全不受影響
- 頻寬成本不會增加
- 可以專注處理正常請求
這就是為什麼即使是 免費 CDN 方案 也能提供基礎的 DDoS 防護能力。
Anycast 網路架構
Anycast 是 CDN 防禦 DDoS 的關鍵技術:
BGP Anycast 原理:
- 多個 CDN 節點共用同一個 IP 地址
- 路由會自動將流量導向最近的節點
- 攻擊流量被自然分散到全球
與傳統 Unicast 的差異:
| 架構 | Unicast | Anycast |
|---|---|---|
| IP 對應 | 1 IP = 1 位置 | 1 IP = 多個位置 |
| 攻擊影響 | 集中在單點 | 分散到全球 |
| 容量 | 單一伺服器 | 所有節點總和 |
| 冗餘 | 需額外設定 | 內建 |
描述:Anycast 架構與 Unicast 架構對比圖,左側顯示 Unicast 單點承受攻擊,右側顯示 Anycast 將攻擊分散到多個節點 構圖:左右對比、簡化的網路拓撲圖、箭頭標示流量方向 -->
各大 CDN 的 DDoS 防護能力
Cloudflare DDoS 防護
Cloudflare 是目前 DDoS 防護能力最強的 CDN 之一。
免費方案的防護能力:
- Layer 3/4 完整防護
- Layer 7 基礎防護
- Unmetered Mitigation(無限量防護)
- 不收取攻擊清洗費用
進階防護功能(付費):
| 功能 | Pro | Business | Enterprise |
|---|---|---|---|
| 進階 WAF | ✓ | ✓ | ✓ |
| Rate Limiting | 有限 | 進階 | 自訂 |
| Bot Management | ✗ | ✗ | ✓ |
| Magic Transit | ✗ | ✗ | ✓ |
實際案例: 2023 年,Cloudflare 成功阻擋了一次 71 百萬 RPS 的 DDoS 攻擊,創下 Layer 7 攻擊規模的新紀錄。
想了解完整的 Cloudflare 設定教學,可以參考我們的教學文章。
AWS Shield
AWS 的 DDoS 防護服務分為兩個層級:
Shield Standard(免費):
- 自動包含在 CloudFront 中
- Layer 3/4 防護
- 無需額外設定
Shield Advanced($3,000/月):
- Layer 7 防護
- 24/7 DDoS Response Team(DRT)
- 費用保護(攻擊造成的額外費用補償)
- 即時攻擊診斷
- AWS WAF 免費額度
Shield Advanced 適合:
- 對可用性要求極高的企業
- 受監管的產業(金融、醫療)
- 擔心攻擊費用的組織
想了解更多 AWS CloudFront 設定,可以參考我們的教學文章。關於各家 CDN 的安全功能比較,也可以參考 CDN 廠商完整比較。
Akamai Kona Site Defender
Akamai 是企業級 DDoS 防護的代表:
核心功能:
- 超過 1,400 Tbps 的清洗容量
- 智慧自動化防護
- 客製化防護規則
- 專屬安全團隊支援
適用場景:
- 大型金融機構
- 全球電商平台
- 政府機關
- 關鍵基礎設施
費用: 企業報價,通常需要年約
CDN 的其他安全功能
除了 DDoS 防護,CDN 還提供多種安全功能:
WAF(Web Application Firewall)
WAF 防護應用層攻擊:
| 防護類型 | 說明 |
|---|---|
| SQL Injection | 防止資料庫注入攻擊 |
| XSS | 防止跨站腳本攻擊 |
| RFI/LFI | 防止檔案包含漏洞 |
| RCE | 防止遠端程式碼執行 |
各 CDN 的 WAF 功能:
| CDN | 免費 WAF | 付費 WAF |
|---|---|---|
| Cloudflare | 基礎規則 | OWASP 完整規則 |
| AWS WAF | 需另購 | 按規則計費 |
| Akamai | ✗ | Kona Site Defender |
Bot Management
區分好的機器人和壞的機器人:
好的機器人:
- 搜尋引擎爬蟲(Googlebot)
- 監控服務
- 合作夥伴 API
壞的機器人:
- 刷票/搶購機器人
- 內容竊取爬蟲
- 帳號破解工具
- 庫存探測器
防護機制:
- JavaScript Challenge
- CAPTCHA 驗證
- 行為分析
- 設備指紋
Rate Limiting
限制請求頻率,防止資源濫用:
設定範例:
- 登入 API:10 次/分鐘/IP
- 搜尋功能:30 次/分鐘/IP
- 一般頁面:1000 次/分鐘/IP
超過限制的處理:
- 返回 429 Too Many Requests
- 觸發 CAPTCHA
- 暫時封鎖 IP
IP 黑白名單
簡單但有效的存取控制:
黑名單用途:
- 封鎖已知惡意 IP
- 封鎖攻擊來源國家
- 封鎖競爭對手爬蟲
白名單用途:
- 確保合作夥伴存取
- 內部 IP 不受限制
- 監控服務不被誤擋
擔心網站安全?預約資安評估,讓我們幫你檢視潛在風險並建立防護策略。
CDN 安全設定最佳實踐
必須開啟的安全功能
根據我們的經驗,以下功能應該預設開啟:
| 功能 | 重要性 | 說明 |
|---|---|---|
| HTTPS | 必須 | 使用 Full (Strict) 模式 |
| DDoS 防護 | 必須 | 確認已自動啟用 |
| 基礎 WAF | 必須 | 開啟 OWASP 基礎規則 |
| Bot Fight Mode | 建議 | 阻擋惡意機器人 |
| Rate Limiting | 建議 | 保護 API 和登入頁 |
安全規則設定建議
1. 隱藏 Origin IP
- 所有流量都經過 CDN
- 不要在任何地方暴露真實 IP
- 變更 IP 後更新 CDN 設定
2. 只允許 CDN IP 存取 Origin
- 在防火牆設定只允許 CDN 的 IP 範圍
- Cloudflare IP 範圍:https://www.cloudflare.com/ips/
- AWS CloudFront IP 範圍:AWS 官方文件
3. 啟用 Origin 認證
- Cloudflare:使用 Authenticated Origin Pulls
- CloudFront:使用 Origin Access Control
監控與告警設定
持續監控是安全的基礎:
監控項目:
- 流量異常(突然暴增)
- 錯誤率上升(4xx、5xx)
- 封鎖請求數量
- Origin 回應時間
告警設定:
- 流量超過正常值 3 倍
- 錯誤率超過 1%
- 封鎖請求超過 1000 次/分鐘
- Origin 回應時間超過 5 秒
描述:CDN 安全監控儀表板示意圖,顯示流量趨勢、攻擊事件時間軸、封鎖請求統計和地理來源分布 構圖:四象限儀表板設計、圖表和數字搭配 -->
CDN 無法防護的攻擊
CDN 不是萬能的,有些攻擊類型需要額外的防護措施。
應用層攻擊
針對應用程式邏輯的攻擊:
| 攻擊類型 | 說明 | 防護方式 |
|---|---|---|
| 業務邏輯攻擊 | 濫用正常功能 | 應用程式層防護 |
| API 濫用 | 大量合法 API 呼叫 | Rate Limiting |
| 憑證填充 | 嘗試大量帳密組合 | MFA、CAPTCHA |
針對 Origin 的攻擊
如果攻擊者知道你的 Origin IP:
防護措施:
- 變更 Origin IP
- 只允許 CDN IP 存取
- 使用私有網路連線(如 AWS PrivateLink)
- 考慮使用隧道技術
需要額外的安全措施
CDN 之外,你可能還需要:
| 需求 | 解決方案 |
|---|---|
| 資料庫防護 | 資料庫防火牆 |
| 內部威脅 | SIEM 系統 |
| 惡意軟體 | 端點防護 |
| 身份驗證 | MFA、SSO |
| 合規需求 | 安全稽核 |
發生攻擊時的應對流程
緊急應對步驟
-
確認是否為攻擊
- 檢查流量模式是否異常
- 確認不是突發的正常流量(如行銷活動)
-
啟動防護機制
- 提高 CDN 安全等級
- 啟用「攻擊模式」(如 Cloudflare Under Attack Mode)
- 啟用額外的驗證機制
-
監控與調整
- 持續監控攻擊流量變化
- 調整規則以減少誤擋
- 記錄攻擊特徵供日後分析
-
通知相關單位
- 通知內部團隊
- 如有需要,通知客戶
- 考慮是否需要報警
-
事後檢討
- 分析攻擊來源與手法
- 更新防護規則
- 檢討應變流程
預防勝於治療
日常準備:
- 定期測試防護機制
- 維護應變流程文件
- 備份關鍵配置
- 與 CDN 廠商保持聯繫
結論:建立完整的安全防護
CDN 是現代網站安全的第一道防線,但不應該是唯一的防線。完整的安全策略應包含:
CDN 層(本文重點):
- DDoS 防護
- WAF
- Bot 管理
- Rate Limiting
想了解如何正確設定這些安全功能,可以參考 CDN 設定優化教學。
應用層:
- 安全的程式碼
- 輸入驗證
- 身份驗證
基礎設施層:
- 防火牆
- 入侵偵測系統
- 安全監控
流程層:
- 安全培訓
- 應變計畫
- 定期稽核
資安事件的代價遠超過預防成本。預約資安評估,讓我們幫你建立完整防護。CloudInsight 團隊擁有資安專家,已協助超過 30 家企業建立資安防護體系。
常見問題 FAQ
免費 CDN 的 DDoS 防護夠用嗎?
對於一般網站,Cloudflare 免費版的 DDoS 防護已經足夠。它提供無限量的 Layer 3/4/7 防護,曾成功阻擋數百 Gbps 的攻擊。但如果你需要 SLA 保證或專屬支援,應考慮付費方案。
CDN 會不會因為 DDoS 攻擊向我收費?
這取決於 CDN 廠商。Cloudflare 明確承諾「Unmetered DDoS Mitigation」,不會因為攻擊流量收費。AWS CloudFront 的 Shield Standard 也不收費,但如果沒有 Shield Advanced,攻擊流量可能產生頻寬費用。
我應該用多個 CDN 來增強 DDoS 防護嗎?
不建議。使用多個 CDN 會增加複雜度,且每個 CDN 都需要暴露 Origin IP,反而可能增加風險。單一可靠的 CDN 加上適當的 Origin 保護就足夠。
DDoS 攻擊會不會影響 SEO?
如果網站因為 DDoS 攻擊而長時間無法存取,可能會影響搜尋引擎排名。但短暫的中斷或 CDN 回傳的 Challenge 頁面通常不會有顯著影響,因為搜尋引擎爬蟲會多次嘗試。
被攻擊時應該報警嗎?
如果攻擊造成重大損失或懷疑是針對性攻擊,建議報警處理。在台灣可以向刑事警察局或調查局報案。保留相關日誌和證據很重要。
相關文章
AWS CloudFront 教學:7 步驟完成 CDN 設定與優化
AWS CloudFront CDN 完整設定教學!從建立 Distribution、設定 Origin 到整合 S3 與 EC2,詳解步驟與最佳實踐,打造高效能網站架構。
CDNCDN 設定優化教學:8 招讓網站速度提升 50%
CDN 設定與優化完整教學!從快取策略、壓縮設定到效能監控,一步步教你正確設定 CDN,讓網站速度提升 50% 以上。
CDNCloudflare CDN 完整教學:5 步驟從註冊到進階設定
Cloudflare CDN 完整設定教學!從註冊帳號、DNS 設定到進階快取規則,圖文步驟詳解。包含免費方案功能介紹與常見問題解答。