六度數位科技｜DDoS 實務指南

將防護拆成三層：入口清洗 → 應用層辨識 → 後端穩定，並根據 WEB 與 TCP/UDP 的差異，調整策略與成本。

• Anycast / 多區入口：就近接入，分散峰值與路徑風險。
• 清洗層：速率限制、封包特徵、協定驗證（TCP 三向握手、SYN/ACK 比例、異常旗標）。
• Proxy / WAF 層：HTTP/HTTPS 走 WAF + Bot 管理；TCP/UDP 走 L4 代理與行為式限流。
• 原始 IP 保留：Proxy Protocol v2（或 X-Forwarded-For），供白名單與行為判斷。
• 後端可用性：健康檢查、藍綠切換、快取與只讀降級，避免單點。

實作依雲商/IDC/成本目標調整；建議先做 PoC 驗證延遲與命中率。

• 核心指標：RPS/pps、錯誤率、握手成功率、延遲分佈、來源國別/ASN。
• 告警條件：速率突增、規則命中異常、關鍵路徑（/login、/checkout）異常。
• 資料匯整：收集 remote_addr / upstream_addr 與規則命中，產出日/週報。
• 自動化：報表驅動黑/白/灰名單與防火牆更新，持續壓低惡意重試。

可與既有 SIEM / APM 整合：如錯誤率與 RPS 疊圖，快速定位攻擊時段。

• 階段 1：PoC — 小流量導入驗證延遲與命中率，出具報告與導入建議。
• 階段 2：正式導入 — 入口清洗 + 應用層規則 + 名單自動化。
• 階段 3：跨區備援 — 多區 Proxy、Anycast/Geo，確保高可用。
• 階段 4：全面自動化 — 指標驅動策略迭代、週期性復盤與演練。