最近拿到一张 DDoS 压力测试工具的面板截图。工具界面把攻击模式分成了几大类:放大模式、穿墙模式、Layer7 模式,还有一个 VIP 特殊区域。每种模式下又罗列了一堆眼花缭乱的选项,什么 DNS、SSDP、TCP-SYN、HTTPCC……这基本就是当前黑产手上一套完整的“攻击武器库”。
我今天就以这个面板为索引,把每一种攻击模式的原理、危害讲清楚,并逐条给出防护策略。如果你正在被攻击困扰,或者单纯想给自己的站点多做点准备,这篇文章可以当成一份手册来读。
一、先把这个面板读懂:攻击模式分类逻辑
面板上的攻击模式,本质上是按网络协议的“工作楼层”来划分的:
- 放大模式(UDP):利用 UDP 协议的无连接特性,伪造受害者 IP 向大量开放服务器发送小请求,让这些服务器把数倍甚至数十倍的响应数据“反射”给受害者,以极小的攻击成本消耗对方带宽。
- 穿墙模式(UDP+TCP):不再靠反射取巧,而是直接用海量肉鸡向目标发起洪水攻击。TCP 类攻击专门消耗服务器的连接状态和 CPU,UDP 类攻击则纯粹冲带宽。
- Layer7 模式:应用层攻击,流量不大,但请求本身极其消耗服务器资源(CPU、数据库连接、PHP 进程),能把一个正常运转的网站悄无声息地打成 502。
- VIP 特殊模式:一般是定制化的混合攻击或针对特定漏洞的高级利用。
接下来我逐条拆解。
二、Layer4 攻击模式详解:带宽与连接表的战争
1. 放大模式 —— 借刀杀人
放大攻击的核心是:伪造受害者的 IP,向互联网上大量开放服务发送小请求,这些服务返回的响应远大于请求,从而把响应流量放大后“反射”到受害者身上。
DNS 放大(热门)
- 原理:攻击者伪造目标 IP,向全球开放 DNS 服务器(53 端口)发送一个几十字节的查询请求,DNS 服务器返回几百甚至上千字节的响应。特殊构造的
ANY查询能把放大倍数拉到几十倍。 - 危害:瞬间灌满目标带宽,DNS 服务器本身也可能被打崩。
SSDP 放大
- 原理:SSDP(简单服务发现协议,端口 1900)用于家庭路由器、智能电视等 UPnP 设备相互发现。伪造 IP 发起查询,放大倍数可达 30 倍。
- 危害:家用设备数量庞大且安全薄弱,SSDP 是反射攻击中“反射源”最多的一种,极难通过封禁 IP 来防护。
COAP 放大
- 原理:CoAP(受限应用协议,端口 5683)是物联网设备的常用 UDP 协议。攻击者利用联网 CoAP 节点伪造请求,放大倍数 10-30 倍。
- 危害:大量物联网设备暴露在公网,极易被利用。
防护思路:放大攻击的本质是流量冲击,必须在网络边缘进行流量清洗。高防 IP 和 高防 CDN 能把攻击流量牵引到清洗中心,过滤掉反射包后再把正常流量回源,这是目前最有效的方案。
2. 穿墙模式 —— 直击服务器连接表
这类攻击直接用肉鸡向目标发起洪水,目标是把服务器的 TCP 连接表占满,让正常用户无法建立连接。
TCP-SYN(SYN Flood)
- 原理:发送大量伪造源 IP 的 SYN 包,服务器回复 SYN+ACK 后进入半连接等待状态,但永远等不到最终 ACK。半连接队列被塞满后,正常用户的 SYN 请求直接被丢。
- 危害:最经典的 DDoS 手段,几乎所有攻击脚本都内置此模式,击打精准、实施简单。
TCP-ACK(ACK Flood)
- 原理:发海量随机 ACK 包,绕过基于 SYN 的检测逻辑,迫使防火墙和服务器耗费大量 CPU 去检查并不存在的连接表条目,最终耗尽系统资源。
TCP-TFO
- 原理:TFO(TCP Fast Open)机制允许在第一次握手时携带应用数据。攻击者利用此特性,一次连接就发送一个完整的 HTTP 请求,跳过 SYN Cookie 防御,以更高效率攻击应用层。
TCP-AMP(热门)
- 原理:一种更精细的 TCP 反射放大,攻击者伪造受害者 IP,向开放 TCP 服务发起连接,让服务端向受害者发送大量响应,实现流量放大。实现门槛高,因此在攻击工具里被打上“热门”标签。
防护思路:TCP 洪水需要靠高防清洗设备做 SYN Cookie、连接数限制、入站流量整形。高防 IP 能提供 T 级防护,同时隐藏源站真实 IP,是抵御这类攻击的根本。
3. UDP 洪水变种 —— 游戏服务器的噩梦
面板里的 UDP-PPS、UDP-VSE、UDP-PLAIN、UDP-FIVEM、UDP-CS16 等,清一色是针对游戏服务器的协议特征洪水。它们的流量绝对值往往不大(可能不足 1Gbps),但因为模拟了游戏客户端的协议握手和包结构,能让游戏服务器的逻辑线程忙于处理假玩家请求,最终导致全部玩家掉线。
防护思路:游戏类业务必须使用高防 IP(全端口转发),在 UDP 端口前部署协议校验规则,过滤掉不符合游戏协议特征的包。
三、Layer7 模式详解:没有大流量,照样打瘫网站
应用层攻击最让运维头疼的地方在于:你盯着带宽图看不出任何异常,但网站已经 502 了。
HTTPCC(Challenge Collapsar)
- 原理:专门针对网站中消耗资源最大的动态页面(搜索、数据库查询、PHP 页面等)发起高并发请求。一个正常用户访问会产生几十个请求(HTML+CSS+JS+图片),HTTPCC 只发一个请求——直接打在最耗资源的那个 URL 上。
- 危害:PHP 进程瞬间跑满,数据库连接池耗尽,但流量只有几十 Mbps,常规防火墙根本不会报警。
TLSv2
- 原理:向目标发起大量 TLS 握手请求,但不完成后续认证。非对称加密运算消耗大量 CPU,服务器 SSL 协议栈很快被打满,HTTPS 服务直接瘫痪。
防护思路:应用层攻击必须靠 WAF(Web 应用防火墙) 来防。WAF 能识别到单 IP 对同一个 URL 的高频请求、缺少浏览器特征的异常流量,并通过 JS 挑战、滑块验证、频率限制 等方式拦截。百度云防护 WAF 专业版就内置了 CC 防护和 Bot 管理,针对 HTTPCC 和 TLSv2 都有成熟的检测规则。
四、防御体系搭建:三层防护缺一不可
面对从 L3 到 L7 的混合攻击,你需要这样一套纵深防线:
| 防线层次 | 防护手段 | 抵御的攻击类型 |
|---|---|---|
| 边界清洗 | 高防 IP / 高防 CDN | DNS/SSDP/UDP 洪水、SYN Flood 等大流量攻击 |
| 应用层防护 | WAF(百度云防护) | HTTPCC、SQL注入、XSS、命令注入、文件包含等 |
| 辅助加固 | 内核参数调优、关闭无用服务、隐藏源站 IP | 降低被攻击面 |
具体的产品搭配思路:
- 纯网站业务:用 百度云防护 WAF(专业版就够用,带完整的 Web 基础防护和 CC 防护),再搭配 高防 CDN,既能加速又能扛住大部分 DDoS。
- 易受大流量攻击的网站(图站、资源站、电商站):WAF + 高防 IP,把 4 层攻击和 7 层攻击彻底分开清洗。
- APP、游戏、非标准端口业务:只能用 高防 IP(全端口转发),不能依赖高防 CDN(仅支持 80/443)。
- 对安全加速有一体化需求的:京东云星盾 SCDN 把 DDoS 防护、WAF、CDN 加速集成在一起,开箱即用。
五、理清账号与产品边界,避免选型踩坑
这里必须强调一个信息,以免大家被误导:百度云防护的产品线是专业版、商务版、企业版,没有所谓的“旗舰版”,而且专业版就已经完整支持 Web 基础防护规则,包括命令注入、SQL 注入、XSS、路径遍历等 OWASP TOP 10 威胁,以及 CC 防护和 Bot 管理。日常站点用专业版完全够用,没必要一上来就盲目往高版本冲。
六、总结
DDoS 工具面板背后,是一套完整的攻击逻辑。不管是 UDP 放大、TCP 洪水还是应用层 CC,本质都是利用协议特性或资源不对称来施压。作为站长,你不需要把每一种攻击的代码细节都弄明白,但必须知道:
- 大流量打带宽的用高防 IP/CDN 扛;
- 消耗 CPU/数据库的打应用层的用 WAF 扛;
- 两者结合,才是完整防线。
如果你手头的站正在被攻击,或者想在攻击发生前就把防线布好,可以直接找我。主机吧网络安全博客 提供一整套安全产品代购与调优服务:
- 百度云防护 WAF(专业版 / 商务版 / 企业版)
- 高防 CDN
- 高防 IP(支持全端口转发,T 级防护)
- 高防服务器
- 京东云星盾 SCDN
- SSL 证书(所有类型)
- 百度 aipage 智能建站
需要评估业务防护需求、或者对现有防护策略做调优的,私信我随时聊。安全这件事,不怕花钱,就怕把钱花错地方。
——主机吧,一个跟 DDoS、CC、爬虫打了十年交道的老站长
2026 年 5 月 3 日
