分散式阻斷服務（DDoS）攻擊的定義

安全技術

分散式阻斷服務（DDoS）攻擊是指攻擊者操控大量被入侵的裝置，對目標發動大規模請求，進而耗盡頻寬和伺服器資源。這將導致網站、API 或區塊鏈節點失去回應能力。DDoS 攻擊常見於交易所、錢包及 RPC 服務，可能引發存取速度變慢、請求逾時或連線中斷等問題。此類中斷將影響訂單撮合、資產查詢，以及充值、提領等核心業務流程。

內容摘要

分散式阻斷服務（DDoS）攻擊通過大量流量淹沒目標伺服器或網路，讓合法用戶無法存取服務。

攻擊者利用殭屍網路同時控制多個裝置，向目標系統發送惡意請求以耗盡資源。

在 Web3 中，DDoS 攻擊可以針對區塊鏈節點、DeFi 平台或交易所，導致交易延遲或服務中斷。

防禦措施包括流量過濾、CDN 分流、備援架構與即時監控系統。

什麼是分散式阻斷服務（DDoS）攻擊？

分散式阻斷服務（DDoS）攻擊是指透過大量分散的流量衝擊某項服務，導致其「癱瘓」，使正常用戶無法存取。這就像成千上萬輛汽車同時湧入同一條高速公路——不是因為汽車本身有問題，而是道路嚴重壅塞。

這種流量洪水多半來自「殭屍網路」（botnet），即大量遭惡意軟體感染、可遠端操控的電腦或物聯網裝置，協同發動攻擊。攻擊目標涵蓋交易所網站、行情/交易API、區塊鏈RPC節點，甚至驗證節點的點對點（P2P）連線。

DDoS攻擊與DoS攻擊有何不同？

主要差異在於規模與分布：DDoS攻擊來自多個來源同時發動，而傳統的阻斷服務（DoS）攻擊通常僅來自單一來源。DDoS攻擊的惡意流量分布全球，更難封鎖與追蹤，猶如無數水龍頭同時打開。

對防禦方而言，DoS攻擊有時可透過封鎖單一IP位址來處理；但DDoS攻擊則需於網路入口進行上游過濾與流量引流，並結合應用層限流與業務降級等措施。

DDoS攻擊的原理是什麼？

DDoS攻擊通常分為兩大類型：

網路層洪泛：以大量資料包佔用頻寬和連線資源。例如SYN洪泛或UDP洪泛，發送大量資料包但不涉及業務邏輯。還有「反射放大」攻擊，攻擊者偽造受害者IP，向多個開放服務（如DNS或NTP）發出請求，這些服務隨即將放大的回應流量送往受害者，猶如借用擴音器對目標大聲喊叫。
應用層耗盡：模擬真實用戶發出複雜請求以消耗CPU或資料庫連線。典型如HTTP洪泛或WebSocket濫用。在Web3場景下，行情訂閱或下單介面常是攻擊目標。當攻擊流量高度模仿真實用戶行為時，可能繞過網路層過濾，直接消耗應用執行緒、快取和資料庫連線池。

Web3場景下的DDoS攻擊目標

在Web3領域，DDoS攻擊常針對關鍵入口，如交易所網站、行情/交易API、區塊鏈RPC節點、全節點P2P埠、跨鏈橋及區塊瀏覽器。

以Gate等交易所為例，針對現貨及衍生品API的DDoS攻擊會導致頁面載入緩慢、K線和訂單簿行情中斷、下單/撤單逾時，以及API用戶遭遇更嚴格的限流和更頻繁的錯誤碼。在RPC層，攻擊公共節點會造成區塊/帳戶查詢逾時、錢包餘額刷新失敗、智慧合約呼叫變慢等。

對驗證節點而言，過多的P2P連線探測會干擾區塊傳播，影響出塊與同步的穩定性。若跨鏈橋暴露公共介面，鏈下簽章或驗證服務在攻擊下可能無法存取。

如何辨識DDoS攻擊的症狀與日誌特徵

典型特徵為「效能突然下降但業務指標無明顯變化」：延遲激增、逾時及5xx錯誤增加，流量暴漲但沒有相應的轉換或交易成長。

網路側常見有入口頻寬異常、SYN佇列飽和、來源IP地理分布突然多樣化。應用層則表現為QPS（每秒請求數）分布異常、p95延遲上升、資料庫連線池耗盡、快取命中率下降、WebSocket會話數激增等。

日誌特徵包括：重複或異常格式的User-Agent字串、無Referrer的請求暴增、單一IP於短時間內存取大量不同URL，或直接請求動態介面而非靜態資源。對節點與RPC服務而言，常見為同質化合約呼叫或高頻低價值查詢。

DDoS攻擊緊急應變

啟動上游過濾與限流：必要時，臨時「黑洞」最受攻擊的目標IP，或將其引流至清洗中心，保護核心資料庫與撮合引擎免於癱瘓。
啟用業務降級與唯讀模式：交易所應優先保障撮合引擎及資產安全，減少非關鍵功能，例如延遲載入圖表、暫停非必要的批量API、縮短K線歷史視窗等。
快速切換Anycast或備用網域：Anycast可將同一IP部署於全球多處，用戶自動連線至最近節點，自然分散流量。備用網域有助隔離受攻擊入口。
加強應用層挑戰與驗證：為匿名介面新增驗證碼（CAPTCHA）；對API金鑰實施更細緻的令牌桶限流與峰值控管；針對高成本請求強制簽章驗證或預先快取。
與電信業者及資安廠商協作：動態調整過濾閾值與模式，確保關鍵指標、日誌與警示持續有效。
向用戶發布狀態更新與風險提示：如Gate狀態頁可公告影響範圍及預計恢復時間。建議用戶下單時設定價格保護與風險參數，避免網路不穩時誤操作。

DDoS長期防禦策略與成本考量

長期防禦需整合「引流、吸收、過濾、降級」多種手法。網路層應於入口部署高頻寬備援與流量清洗，結合Anycast及內容傳遞網路（CDN），在靠近用戶端吸收流量激增；關閉不必要的反射埠，或對可放大服務加以存取控管。

應用層可實施多層快取與讀寫分離，熱門介面靜態化或預先計算；利用Web應用防火牆（WAF）偵測異常行為；API採用令牌桶限流，依用戶QPS分級與突發控管；RPC端點提供私有閘道、白名單及來源配額。

工程與組織層面：建立演練與應變預案，明確何時由誰觸發何種控管；重點監控可用性、p95延遲、錯誤率等關鍵SLO（服務等級目標）；依據業務高峰與風險曝險評估頻寬備援、清洗服務及運算力冗餘的邊際效益。

DDoS攻擊重點與安全建議

DDoS攻擊不會直接竊取資產，但會導致交易及查詢不穩——加劇滑價、引發操作錯誤並增加延遲風險。對建置者而言，應預先設計分層防禦體系，建立涵蓋網路與應用層的高效應變流程。對用戶來說，遇到存取異常時，應優先查閱官方狀態頁，僅透過Gate等可信入口操作，交易時設定限價/風險參數，服務異常期間避免大額或高槓桿交易。產業報告顯示，截至2024年，高流量及應用層DDoS攻擊仍持續上升，峰值已達Tbps等級（來源：Cloudflare、Akamai年報/季報）。積極準備與演練，遠比事後補救更具成本效益。