Home » DDoS Protection: Attack Types, Mitigation, Scrubbing Centers, Anycast และ Rate Limiting
DDoS Protection: Attack Types, Mitigation, Scrubbing Centers, Anycast และ Rate Limiting
DDoS Protection: Attack Types, Mitigation, Scrubbing Centers, Anycast และ Rate Limiting
DDoS (Distributed Denial of Service) โจมตีด้วย traffic จำนวนมหาศาลเพื่อทำให้ service ล่ม Attack Types แบ่งเป็น volumetric, protocol และ application layer, Mitigation ใช้หลายเทคนิคร่วมกันเพื่อกรอง malicious traffic, Scrubbing Centers เป็น infrastructure เฉพาะทางสำหรับ clean traffic, Anycast กระจาย attack traffic ไปหลาย PoPs และ Rate Limiting จำกัด request rate เพื่อป้องกัน abuse
DDoS attacks เพิ่มขึ้นทั้ง ขนาดและความซับซ้อน: attacks ขนาด 1 Tbps+ เกิดบ่อยขึ้น, application layer attacks ยากต่อการตรวจจับเพราะดูเหมือน legitimate traffic, ransom DDoS (RDDoS) เรียกค่าไถ่ก่อนโจมตี องค์กรทุกขนาดต้องมี DDoS protection strategy
DDoS Attack Types
| Layer |
Attack |
How |
Volume |
| L3/L4 Volumetric |
UDP Flood |
ส่ง UDP packets จำนวนมหาศาลเพื่อ saturate bandwidth |
100 Gbps – 3+ Tbps |
| L3/L4 Volumetric |
DNS Amplification |
Spoof victim IP → query open DNS resolvers → amplified response ไป victim (50-70× amplification) |
100 Gbps – 1+ Tbps |
| L3/L4 Volumetric |
NTP Amplification |
monlist command → amplification สูงถึง 556× |
100+ Gbps |
| L3/L4 Volumetric |
Memcached Amplification |
Amplification สูงถึง 51,000× (largest recorded attacks) |
1+ Tbps |
| L4 Protocol |
SYN Flood |
ส่ง SYN packets จำนวนมาก → exhaust server connection table |
Millions of pps |
| L4 Protocol |
ACK Flood |
ส่ง ACK packets → force server to process each one |
Millions of pps |
| L7 Application |
HTTP Flood |
ส่ง legitimate-looking HTTP requests จำนวนมาก |
Thousands-millions rps |
| L7 Application |
Slowloris |
Open many connections แต่ send data ช้ามาก → exhaust server connections |
Low bandwidth |
| L7 Application |
DNS Query Flood |
Flood DNS server with queries for random subdomains |
Millions of qps |
Mitigation Strategies
| Strategy |
How |
Effective Against |
| Anycast Distribution |
Distribute attack across 100+ PoPs globally |
Volumetric (dilute attack across network) |
| BGP Blackhole (RTBH) |
Null-route attacked IP at ISP level |
Volumetric (stops attack but also blocks legitimate traffic) |
| Scrubbing Center |
Redirect traffic → clean → forward only clean traffic |
All types (most comprehensive) |
| SYN Cookies |
Server ไม่ allocate state จนกว่า 3-way handshake complete |
SYN floods |
| Rate Limiting |
Limit requests per IP/session/endpoint |
HTTP floods, API abuse |
| WAF Rules |
Block patterns: suspicious user agents, geo-blocking, challenge-response |
L7 application attacks |
| Challenge (CAPTCHA/JS) |
ให้ client prove เป็น human/real browser |
Bot-driven L7 attacks |
| Behavioral Analysis |
ML detect anomalous traffic patterns |
Sophisticated L7 attacks |
Scrubbing Centers
| Feature |
รายละเอียด |
| คืออะไร |
Data centers เฉพาะทางที่ receive, analyze, clean traffic แล้ว forward เฉพาะ clean traffic |
| How |
BGP re-route traffic → scrubbing center → inspect → drop malicious → forward clean via GRE/tunnel |
| Always-On vs On-Demand |
Always-on: ทุก traffic ผ่าน scrubber ตลอด | On-demand: redirect เมื่อ attack detected |
| Capacity |
Major providers: 10-100+ Tbps scrubbing capacity |
| Latency |
Always-on เพิ่ม latency เล็กน้อย (1-5ms) | On-demand: ไม่มี latency ปกติ แต่ต้อง detect + redirect (minutes) |
DDoS Protection Providers
| Provider |
Capacity |
จุดเด่น |
| Cloudflare |
280+ Tbps |
Largest anycast network, free DDoS protection, always-on |
| Akamai Prolexic |
20+ Tbps |
Dedicated scrubbing, enterprise, SOC support |
| AWS Shield |
Integrated AWS |
Shield Standard (free), Shield Advanced (managed, WAF integration) |
| Google Cloud Armor |
Integrated GCP |
ML-based adaptive protection, Google’s backbone |
| Radware |
12+ Tbps |
Hybrid (on-prem + cloud), behavioral analysis |
| Imperva |
10+ Tbps |
Application security + DDoS, always-on CDN |
Anycast for DDoS
| Feature |
รายละเอียด |
| คืออะไร |
Same IP address announced จากหลาย locations → BGP route traffic ไป nearest PoP |
| DDoS Benefit |
Attack traffic distributed across all PoPs → ไม่มี single point of failure |
| Example |
1 Tbps attack → split across 100 PoPs = 10 Gbps per PoP (manageable) |
| Cloudflare |
300+ PoPs → every PoP absorbs portion of attack |
| DNS |
Root DNS servers ใช้ Anycast (13 addresses → 1000+ actual servers) |
Rate Limiting Strategies
| Strategy |
How |
Use Case |
| Per-IP Rate Limit |
Limit requests per source IP per time window |
Basic protection (easily bypassed with distributed attack) |
| Per-Endpoint |
Different limits per URL/API endpoint |
/login = 5/min, /api = 100/min, /static = 1000/min |
| Token Bucket |
Tokens replenish at fixed rate, each request consumes token |
Allow bursts while enforcing average rate |
| Adaptive |
Adjust limits based on current server load/attack detection |
Tighten during attack, relax during normal |
| Geographic |
Stricter limits สำหรับ regions ที่ไม่ใช่ target audience |
Reduce attack surface from specific countries |
ทิ้งท้าย: DDoS Protection = Always Be Prepared
DDoS Protection Attack Types: volumetric (UDP/amplification, Tbps), protocol (SYN flood), application (HTTP flood, Slowloris) Mitigation: anycast distribution, scrubbing centers, SYN cookies, rate limiting, WAF, CAPTCHA Scrubbing: always-on (low latency added) vs on-demand (minutes to activate), 10-100+ Tbps capacity Anycast: distribute attack across 100+ PoPs → dilute impact (1 Tbps / 100 PoPs = 10 Gbps each) Rate Limiting: per-IP, per-endpoint, token bucket, adaptive, geographic Providers: Cloudflare (280+ Tbps, free tier), Akamai, AWS Shield, Google Cloud Armor Key: multi-layer defense (network + protocol + application) — no single solution stops all DDoS types
อ่านเพิ่มเติมเกี่ยวกับ Network Load Balancing L4 vs L7 HAProxy และ Wireless Security WPA3 SAE OWE ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
