常見攻擊型態

• L7 Flood：HTTP GET/POST Flood、Slowloris
• L4 Flood：TCP SYN/ACK Flood
• 資源耗盡：單 URI 暴增、惡意爬蟲/機器人

5 分鐘檢測清單

• 5xx/504 逾時比例在 10 分內明顯上升
• SYN_RECV 或連線數異常升高
• 特定 URI / API 請求暴增
• 單一/少數 IP 或 UA 集中度偏高
• 頻寬 Rx/Tx 吃滿但應用 CPU 正常

即用檢測指令

uptime && top -b -n1 | head -n 15
ss -s
ss -ant state syn-recv | wc -l

# Nginx Access Log：熱門來源 IP
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -20

# Nginx Access Log：熱門 URI
awk '{print $7}' /var/log/nginx/access.log | sort | uniq -c | sort -nr | head -20

研判指標

• 5xx / 504 比例是否暴增、平均延遲是否上升
• 單 URI 或單 IP / UA 是否佔比異常
• 是否「頻寬滿載但應用 CPU 正常」（偏 L3/4）

常見攻擊型態

• L4 Flood：TCP SYN/ACK/RST Flood
• L3 Flood：UDP Flood / 放大型（NTP/DNS/CLDAP）
• 連線耗盡：SYN_RECV、TIME_WAIT 異常堆積

5 分鐘檢測清單

• 玩家大量斷線 / Ping 飆高
• 目標遊戲埠 SYN_RECV 暴增
• UDP 在特定埠短時間灌爆
• 短連線重複、封包結構異常
• 頻寬滿載但應用 CPU 正常

即用檢測指令（以埠 443 舉例）

ss -s
ss -ant sport = :443 | wc -l
ss -ant state syn-recv sport = :443 | wc -l

# TCPDump：觀察 TCP/UDP 封包
tcpdump -nn -i any tcp port 443 -c 500
tcpdump -nn -i any udp port 443 -c 500

研判指標

• 是否為「目標埠」的連線/封包異常升高
• 短連線重複或握手失敗比例飆升
• 玩家端體感指標：斷線率、延遲、封包遺失