การป้องกัน DDoS คือ defense in depth ไม่มี control เดียวที่หยุดทุกการโจมตีได้ ดังนั้นคุณซ้อนชั้นที่แต่ละชั้นซับ กรอง หรือบล็อก traffic คนละประเภท ลำดับมีความสำคัญ — ผลักงานให้มากที่สุดเท่าที่จะทำได้ไปที่ edge ให้ห่างจาก origin ของคุณ
การป้องกัน DDoS คือ defense in depth ไม่มี control เดียวที่หยุดทุกการโจมตีได้ ดังนั้นคุณซ้อนชั้นที่แต่ละชั้นซับ กรอง หรือบล็อก traffic คนละประเภท ลำดับมีความสำคัญ — ผลักงานให้มากที่สุดเท่าที่จะทำได้ไปที่ edge ให้ห่างจาก origin ของคุณ
429 Too Many Requests หยุด client ที่ก่อกวนโดยไม่ทำร้ายตัวปกติโมเดลทางความคิดคือ absorb -> filter -> block:
Internet flood
-> CDN + anycast : ABSORB volume across global PoPs
-> scrubbing : drop obvious junk (L3/L4 floods)
-> WAF : FILTER malicious HTTP (L7)
-> rate limiting : throttle abusive clients (429)
-> origin (autoscaled) : serve the clean remainder
-> ISP null-route : last resort if origin IP is overwhelmed
การโจมตีแบบ volumetric ตายที่ชั้น CDN/scrubbing ส่วนการโจมตีระดับ application ที่ดูเหมือน traffic จริงจะถูกกรองโดย WAF และ rate limiter
การพึ่งพาชั้นเดียวล้มเหลวอย่างคาดเดาได้: WAF ไม่สามารถหยุด flood ขนาด 1 Tbps ได้ (ท่อจะอิ่มตัวก่อน) และ CDN เพียงลำพังจะปล่อย HTTP flood ที่แยบยลผ่านไปยัง origin ของคุณอย่างเต็มใจ การจัดชั้นหมายความว่าการโจมตีแต่ละประเภทพบกับ control ที่ออกแบบมาสำหรับมัน และ origin เห็นเฉพาะ traffic ที่ชั้นนอกไม่สามารถจัดการได้ด้วยตัวเอง