Home » DDoS Protection: Attack Types, Mitigation, Scrubbing Centers และ Defense Strategies
DDoS Protection: Attack Types, Mitigation, Scrubbing Centers และ Defense Strategies
DDoS Protection: Attack Types, Mitigation, Scrubbing Centers และ Defense Strategies
DDoS (Distributed Denial of Service) เป็นภัยคุกคามที่ร้ายแรงที่สุดต่อ availability ของ network services Attack Types ครอบคลุมตั้งแต่ volumetric floods จนถึง application-layer attacks, Mitigation techniques ใช้ rate limiting, blackholing และ traffic filtering, Scrubbing Centers เป็น cloud-based cleaning services ที่กรอง malicious traffic ออก และ Defense Strategies รวมหลาย layers เพื่อ comprehensive protection
DDoS attacks เพิ่มขึ้นทุกปีทั้ง ขนาดและความซับซ้อน: attacks ขนาด 1+ Tbps เป็นเรื่องปกติ, multi-vector attacks ใช้หลาย techniques พร้อมกัน, application-layer attacks ยากต่อการ detect เพราะดูเหมือน legitimate traffic องค์กรที่ไม่มี DDoS protection strategy จะ offline ได้ภายในนาที
DDoS Attack Categories
| Category |
Layer |
Goal |
Examples |
| Volumetric |
L3-L4 |
Saturate bandwidth (flood the pipe) |
UDP flood, ICMP flood, DNS amplification, NTP amplification |
| Protocol |
L3-L4 |
Exhaust server/firewall resources |
SYN flood, ACK flood, fragmentation attacks |
| Application |
L7 |
Crash application/exhaust app resources |
HTTP flood, Slowloris, DNS query flood, API abuse |
Common Attack Types
| Attack |
How |
Amplification |
| UDP Flood |
ส่ง UDP packets จำนวนมากไปที่ random ports |
1× (no amplification) |
| DNS Amplification |
Spoof source IP → query open resolvers → large response ไปที่ victim |
28-54× (query เล็ก, response ใหญ่) |
| NTP Amplification |
Spoof source → monlist command → large response ไปที่ victim |
556× (highest amplification) |
| Memcached Amplification |
Spoof source → query memcached → huge response |
51,000× (record-breaking) |
| SYN Flood |
ส่ง SYN packets จำนวนมาก (ไม่ complete handshake) → exhaust connection table |
N/A (resource exhaustion) |
| HTTP Flood |
ส่ง legitimate-looking HTTP requests จำนวนมาก |
N/A (application resource exhaustion) |
| Slowloris |
Open many connections, send headers slowly → keep connections open forever |
N/A (connection exhaustion) |
| DNS Water Torture |
Query random subdomains → force recursive lookups → exhaust DNS server |
N/A (DNS server exhaustion) |
Mitigation Techniques
| Technique |
Layer |
How |
| Rate Limiting |
L3-L7 |
จำกัด requests/connections ต่อ IP/subnet ต่อวินาที |
| SYN Cookies |
L4 |
Server ไม่เก็บ state จนกว่า handshake จะ complete (ป้องกัน SYN flood) |
| RTBH (Remotely Triggered Black Hole) |
L3 |
BGP advertise /32 route → ISP drop traffic ไปที่ victim IP (sacrifice IP) |
| Flowspec |
L3-L4 |
BGP Flowspec rules → ISP filter specific traffic patterns (granular) |
| Scrubbing |
L3-L7 |
Redirect traffic → scrubbing center → clean traffic → forward to origin |
| CDN/WAF |
L7 |
Absorb HTTP floods at edge, WAF block malicious requests |
| Anycast |
L3 |
Distribute traffic across multiple PoPs globally (absorb volumetric) |
| Challenge (CAPTCHA/JS) |
L7 |
Challenge bots with CAPTCHA or JS computation (filter bots from humans) |
Scrubbing Centers
| Feature |
รายละเอียด |
| คืออะไร |
Cloud infrastructure ที่ absorb + filter DDoS traffic ก่อนส่งต่อ clean traffic |
| How |
DNS/BGP redirect traffic → scrubbing center → analyze + filter → forward clean traffic |
| Capacity |
10-100+ Tbps scrubbing capacity (handle largest attacks) |
| Always-On |
Traffic ผ่าน scrubbing ตลอดเวลา (no switching delay) |
| On-Demand |
Redirect traffic เฉพาะเมื่อตรวจจับ attack (ปกติ traffic ไปตรง) |
DDoS Protection Providers
| Provider |
Type |
จุดเด่น |
| Cloudflare |
CDN + DDoS + WAF |
Largest anycast network (300+ PoPs), free tier, automatic mitigation |
| Akamai (Prolexic) |
Scrubbing + CDN |
Enterprise-grade, 20+ Tbps capacity, dedicated SOC |
| AWS Shield |
Cloud-native |
Standard (free, L3-L4) + Advanced (paid, L7, DRT team) |
| Azure DDoS Protection |
Cloud-native |
Standard tier, auto-tuning, integrated with Azure services |
| Radware |
On-prem + cloud |
Hybrid (on-prem appliance + cloud scrubbing), behavioral analysis |
| Imperva |
CDN + DDoS + WAF |
3-second SLA, bot management, API protection |
| Netscout Arbor |
On-prem + cloud |
ISP/enterprise, ATLAS threat intelligence, hybrid mitigation |
Defense-in-Depth Strategy
| Layer |
Defense |
| 1. ISP Level |
RTBH, Flowspec, ISP scrubbing (first line — stop volumetric at ISP) |
| 2. Cloud Scrubbing |
Cloudflare/Akamai/Prolexic → absorb + filter before reaching network |
| 3. Network Edge |
Firewall rate limiting, ACLs, anti-spoofing (BCP38/uRPF) |
| 4. Load Balancer |
Connection limits, SYN cookies, health checks, auto-scaling |
| 5. WAF |
HTTP flood detection, bot mitigation, rate limiting per URL/session |
| 6. Application |
CAPTCHA, API rate limiting, graceful degradation, caching |
| 7. Monitoring |
Real-time traffic monitoring, anomaly detection, automated response |
ทิ้งท้าย: DDoS = Multi-Layer Defense Required
DDoS Protection Attack Types: volumetric (bandwidth flood), protocol (resource exhaust), application (L7 flood) Amplification: DNS (54×), NTP (556×), Memcached (51,000×) — spoofed source Mitigation: rate limiting, SYN cookies, RTBH, Flowspec, scrubbing, CDN/WAF, anycast Scrubbing: cloud infrastructure (10-100+ Tbps) that filters malicious traffic Providers: Cloudflare (free tier), Akamai, AWS Shield, Azure DDoS, Radware Defense: ISP (volumetric) → cloud scrubbing → firewall → LB → WAF → application (layers)
อ่านเพิ่มเติมเกี่ยวกับ Firewall NGFW WAF Microsegmentation และ Network Security Operations SIEM SOAR ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
