什麼是第四層 DDoS 攻擊

　DDoS 分散式阻斷攻擊 會試圖利用大量的資料流量壓垮攻擊目標，造成目標網站伺服器的服務中斷，以達到攻擊的目的。

　第四層 DDoS 攻擊，是以 OSI 模型中的「第四層(Layer4/ L4) 傳輸層」作為攻擊目標，攻擊者以傳輸層的協定(主要為 TCP、UDP) 作為攻擊載體，透過大量封包或大量半開/完整連線來耗盡目標的連線表、伺服器網路頻寬或中間網路設備的處理能力，讓合法流量被阻斷或延遲。與 L7（應用層）不同，L4 攻擊偏向「量」與「連線狀態」層面的消耗，而非複雜的應用請求。

　第四層 L4 DDoS 攻擊的目的，是耗盡目標的傳輸層資源，如 TCP/UDP 連線表、連線數或傳輸頻寬，導致服務無法回應合法使用者；L4 攻擊通常透過大量 TCP/UDP 封包或大量連線請求，如 SYN 洪水、UDP 洪流或連線耗盡，來佔滿主機或中間設備的連線/狀態資源。

第四層 DDoS 攻擊所帶來的影響主要是...

• 資源耗盡：佔滿 TCP/UDP 連線與狀態表，導致伺服器無法處理合法請求。

• 設備過載：大量封包壓垮頻寬、防火牆或負載均衡器，造成網路性能下降。

• 業務受損：合法用戶無法存取服務，帶來停機、交易中斷與信任流失。

什麼是 OSI 模型第四層

　OSI 模型是網際網路運作方式的概念模型，從下往上分別是實體層(L1)、資料連結層(L2)、網路層(L3)、傳輸層(L4)、會議層(L5)、展示層(L6)和應用層(L7)。

　OSI 模型第四層是傳輸層 Transport Layer，主要負責電腦整體的資料傳輸及控制，L4傳輸層可以將較大的資料切割成多個適合的資料流來傳輸，替模型頂端的第五、六、七等三個通訊層提供流量管制及錯誤控制。

　L4傳輸層是 傳輸控制通訊協定(TCP) 和使用者資料包通訊協定(UDP) 連接埠編號運作的地方，其中的 傳輸控制通訊協定(TCP)更是我們最常接觸的協定，它在傳輸資料內加入驗證碼，當對方收到後就會依照這個驗證碼回傳對應的確認訊息(ACK)，若對方未即時回傳確認訊息，資料就會重新傳送一次，確保資料傳輸完整完成。

第 4 層 DDoS 攻擊和其他層級的攻擊差異

DDoS 攻擊的目標，通常集中在 L3、L4 和 L7 ，其攻擊存在著差異。L3 是針對頻寬和網路設備、L4 是針對伺服器連線資源，而 L7 則是針對應用程式運算的攻擊。

• 第 3 層 L3 網路層：
  以 IP/ICMP 封包洪流或畸形分片淹沒路由器、交換器與頻寬資源，造成網路傳輸中斷。
  
  

• 第 4 層 L4 傳輸層：
  利用 TCP/UDP 封包與連線請求耗盡伺服器或中間設備的連線狀態表與頻寬，典型手法有 SYN Flood、UDP Flood。
  
  

• 第 7 層L7 應用層：
  模擬合法應用請求(如 HTTP/HTTPS、API 呼叫) 直接消耗伺服器處理能力，難以單純靠封包過濾攔截。

第四層 DDoS 攻擊如何運作

　與其他類型的 DDoS 攻擊一樣，攻擊者會透過這些通訊協定傳送大量的網路流量，但第四層更著重於「傳輸層的連線狀態與傳輸資源」，也就是說攻擊不只是單純灌頻寬，而是刻意耗盡 TCP/UDP 的連線表、半開連線或連線池，讓中間設備(如防火牆、負載均衡器) 與主機無法再接受或維持合法連線。

其運作流程如下：

1. 掃描開放埠口與容量：
   攻擊者掃描目標的公開埠與服務，例如 TCP/UDP 埠，評估可用容量、連線上限與弱點。




2. 動員殭屍網路或反射伺服器：
   動員殭屍網路流量來源，或收集可被濫用的放大反射伺服器。




3. 選擇向量：
   決定使用 SYN Flood、UDP Flood、或連線耗盡等 L4 向量，並可能混合多種向量。




4. 發起攻擊：
   大量來源同時發送 TCP/UDP 封包或連線請求，例如大量 SYN，迅速提高目標的連線/封包負載。




5. 耗盡資源：
   目標的 TCP/UDP 連線表、socket連線池或上游設備被佔滿，同時頻寬可能也被淹沒。




6. 躲避偵測：
   攻擊者變換來源 IP、調整速率、改變封包特徵或採用短時爆發與長期低速混合以避開簡單防護規則。




7. 維持／撤退：
   根據目的(癱瘓、勒索或試探)，維持攻擊直到目標掛掉或攻擊目的達成，然後撤退或改變策略再度發動。

　通常攻擊會在短時間內造成連線狀態異常與新連線激增，第四層 DDoS 攻擊透過大量 TCP/UDP 封包或連線請求，有系統地耗盡目標與中間設備的「連線狀態與傳輸資源」，讓合法使用者無法建立或維持連線。

常見的第四層 DDoS 攻擊種類

　第四層攻擊多以「連線狀態或傳輸資源耗盡」為目標，以下是幾個常見的第四層 DDoS 攻擊種類。

【SYN 洪水攻擊】

• 攻擊方式：大量發送偽造或真實的 TCP SYN 封包，使伺服器產生大量半開連線。

• 影響：佔滿 TCP backlog 與連線表，導致新連線被拒或延遲。

【UDP 洪水攻擊】

• 攻擊方式：以海量 UDP 封包轟炸目標埠(或多埠)，迫使伺服器處理大量無狀態封包。

• 影響：頻寬被耗盡或主機被迫大量處理回應，造成網路/服務不可用。

【反射/ 放大攻擊】

• 攻擊方式：偽造受害者來源向可被濫用的公開 UDP/TCP 服務(如 DNS、NTP)發請求，引發放大回應。

• 影響：龐大回應流量打向受害者，造成超大頻寬洪流與服務癱瘓。

【連線耗盡攻擊】

• 攻擊方式：建立大量完整、持久連線或維持長時間閒置連線，耗盡 socket/連線池。

• 影響：伺服器/負載均衡器無法接受新連線，服務拒絕或資源枯竭。

Skycloud 如何防禦第四層 DDoS 攻擊

　第四層 DDoS 攻擊往往隱蔽且具高破壞力，能在短時間內癱瘓伺服器與關鍵設備，造成業務中斷與信任流失。Skycloud 憑藉全球節點、三層流量清洗架構與智能化防禦機制，協助企業有效化解各類傳輸層威脅，確保服務穩定、安全不中斷。