DDoS 测量墙术语表
用通俗语言解释你会在 Dstat 仪表盘上遇到的术语——从四层与七层,到 RPS、“我正受到攻击”模式与绕过——并说明每个概念在实时曲线上的表现。
Dstat
压力测试或 DDoS 攻击期间的实时流量统计。
Dstat(destination statistics 的缩写,即“目标统计”)是目标在压力测试期间所承受请求量/带宽的实时视图,通常表现为按时间窗口滚动的请求曲线,并区分放行、绕过与拦截的流量。在本仪表盘中,曲线以滚动的 60 秒窗口绘制请求量,因此持续上扬意味着目标正承受高于基线的负载。
七层(Layer 7)
应用层流量,以每秒请求数衡量。
七层(应用层)对应 HTTP/HTTPS 请求。七层 Dstat 以请求数衡量,也是 WAF、JS 挑战、验证码与限速发挥作用的层级。其核心数字是每秒请求峰值(RPS);受保护的目标应在到达源站前过滤掉其中绝大部分。
四层(Layer 4)
网络/传输层流量,以带宽与数据包衡量。
四层(传输层)对应 TCP/UDP 流量。四层 Dstat 以带宽(Gbps)和每秒数据包(pps)衡量,与应用逻辑无关。由于此类洪泛无视应用逻辑,其缓解发生在网络边缘,而非依靠挑战或限速。
“我正受到攻击”模式(UAM)
一种用 JavaScript 挑战过滤自动化客户端的机制。
UAM 会下发一段 JavaScript 挑战,真实浏览器可透明通过,而多数简单脚本无法完成,从而大幅减少到达源站的自动化七层流量。在 Dstat 曲线上,开启 UAM 通常表现为测试开始后不久绕过流量的骤降。
验证码(CAPTCHA)
需要人工交互完成的挑战。
验证码需要明确的人工交互(点击或解题),比静默 JS 挑战更强,但也给正常用户带来一定打扰;因此它通常只用于登录、结账等高风险路径——在这些场景下,绕过流量的下降值得承受额外打扰。
限速(Rate Limiting)
在时间窗口内限制单客户端的请求数。
限速会限制单个客户端(IP、令牌或路径)在某时间窗口内可发送的请求数,平滑突发并削弱七层洪泛攻击。用 Dstat 的话来说,有效的限速能在总入站请求飙升时,仍让绕过曲线保持平稳。
RPS(每秒请求数)
七层吞吐的核心指标。
每秒请求数是七层 Dstat 的主要单位:它表示目标每秒处理的 HTTP 请求量,峰值 RPS 通常是压力测试的核心数字。在同一张图上对比入站 RPS 与绕过 RPS,是判断防护是否稳固的便捷方法。
绕过(Bypass)
穿过防护、抵达源站的请求。
绕过统计的是击穿防护层(挑战或过滤)、最终抵达源站的请求。测试中绕过率偏高,说明该防护并未完全生效。任何受保护 Dstat 测试的目标,都是在总请求量保持高位的同时,把绕过曲线压向零。