您如何将DDoS攻击与自然流量激增区分开？

Question

Accepted Answer

两者看起来都是请求的突然激增，所以您通过**流量的形态而不仅仅是其规模**来区分它们。DDoS攻击显示异常的、机器式的模式，没有业务原因；而有机激增则遵循真实用户，并且有您能指出的原因。

## DDoS的标志

- **集中在单个endpoint** — 数千个请求猛烈攻击单个昂贵路径（例如 `/search` 或 `/login`），而不是分散在整个站点。
- **异常的地理位置和用户代理** — 来自您不服务的地区的流量，或单一重复/空的/伪造的 `User-Agent`。
- **缓存命中率低** — 攻击者制造唯一的查询字符串来绕过CDN并直接击中您的源。
- **格式错误或重复的请求** — 相同的payload、缺少headers、没有cookies、没有referrer chain。
- **没有业务驱动** — 没有活动、发布或推荐来解释激增，它立即出现而不是逐步增长。

## 有机激增的标志

- **可追溯的原因** — 营销活动、病毒式帖子、新闻提及或来自已知来源的推荐激增。
- **正常的用户路径** — 流量通过真实旅程流动（landing -> product -> checkout），尊重缓存，携带cookies和各种用户代理。
- **自然的增长** — 负载逐渐增加和消退，而不是瞬间跳到最大值。

## 如何判断

不要凭眼睛看原始数字。**维护基线**用于每秒请求数、地理位置分布、缓存命中率和错误率，然后对其运行**异常检测**。

```text
# Correlate several signals before declaring an attack:
requests/sec       -> spiked 20x        (suspicious)
cache-hit ratio    -> dropped 95% -> 5%  (bypassing cache = suspicious)
top endpoint       -> 90% to /login      (concentrated = suspicious)
conversions/signups-> flat or zero        (no business value = attack)
```

关键是**相关性**：真实激增也会提升业务指标；而攻击会增加成本，但转化率保持不变。

## 为什么这很重要

在两个方向上错误解读都很昂贵。将发布激增视为攻击并对其进行速率限制会阻止付费用户；将攻击视为有机则会让它耗尽您的源。基线加关联指标让您能够快速正确地响应，这正是检测的全部意义。