如何看懂 DDoS 测量墙图表
Dstat 图把一场压力测试变成一张可读的图——前提是你看得懂每条线、每个标记。本文讲清楚实时 Dstat 图的构成、走势的含义,以及那个能告诉你防护是否真正生效的细分数据。
图表的构成
横轴是时间,纵轴是请求量。我们的实时图表绘制滚动的 60 秒窗口:最新的一秒从右侧进入,最旧的一秒从左侧移出,因此曲线始终展示最近一分钟、而非整场测试的流量。
每个点代表目标在该秒收到的请求数。图表上方的核心数字是「峰值」——当前窗口内的最高点,也是描述目标所受攻击强度时最常引用的数字。
放行、绕过与拦截
对于受保护目标,图表会拆分为多条序列。放行是合法通过防护的流量,绕过是击穿防护、仍抵达源站的流量,拦截则是在边缘被拦截的流量。真正关键的是绕过序列:它衡量有多少恶意负载实际到达了源站。
无防护端点只有一条线——每个请求都抵达源站——这也是为什么在同等攻击下,无防护 Dstat 面向源站的数字通常远高于受保护的。
读懂走势
尖峰之后紧跟一条贴近零的平线,通常意味着防护生效或目标已离线;持续的高位平台说明目标正在稳定承载;不断向上的阶梯则说明负载仍在攀升、目标尚未触及上限。
把入站曲线与绕过曲线对比:若入站上升而绕过保持平稳,说明防护稳住了;若绕过随入站一起上升,说明防护在漏。
常见误读
单看高峰值并不代表目标失败——关键是它是否还在响应。同样,短测试里绕过数字低也不能证明防护强;随着攻击调整,防护表现可能改变。永远看滚动趋势,而不是某一帧。
相关实时测量墙示例(Layer 7)
看懂 Dstat 图表 —— 常见问题
贴近零的平线意味着什么?
要么防护过滤了几乎全部流量,要么目标已停止响应。结合页面或主机是否仍可访问,即可区分两者。
图表上最重要的数字是哪个?
对受保护目标,是绕过率——有多少请求击穿防护抵达源站;对无防护目标,是峰值每秒请求数。
为什么曲线只显示大约一分钟?
实时图表采用滚动的 60 秒窗口,让最近的行为始终以完整细节呈现;它每隔几秒刷新一次。