四层测量墙(Layer4 Dstat)—— 实时网络层流量
四层测量墙(Layer4 Dstat)是原始网络流量的实时图表 —— 容量型 DDoS 测试期间击中目标的 TCP/UDP 带宽与包速率。本指南讲解四层测量墙测量什么、与 Layer7 有何区别,以及如何看懂它。
什么是 Layer4 Dstat?
Layer4 Dstat 测量传输层(OSI 第 4 层)的流量:以每秒比特数(bps / Gbps)与每秒包数(pps)表示的原始 TCP/UDP 体量。它是可视化 UDP Flood、SYN Flood、反射放大等容量型攻击的标准方式 —— 此类攻击旨在占满目标带宽或耗尽其网络协议栈。
与应用层指标不同,Layer4 Dstat 不关心请求内容,只统计到达链路的包与字节总量。因此它是容量型攻击的正确视角:影响由原始吞吐量决定,而非请求逻辑。
Layer4 Dstat 与 Layer7 Dstat 的区别
Layer4 Dstat 以带宽与包数衡量,反映链路 / 设备的饱和度;Layer7 Dstat 以每秒请求数(RPS)衡量,反映应用防护(WAF、JS 挑战、验证码、限速)的承压能力。两者回答的问题不同,防护方式也不同 —— 四层依靠上游清洗与冗余带宽,七层依靠边缘过滤。
如何看懂 Layer4 Dstat
关注两条曲线:吞吐(bps / Gbps)显示洪泛消耗的带宽,包速率(pps)显示网络协议栈承受的压力 —— 小包洪泛往往在占满链路之前就先耗尽 pps。持续的高位平台说明目标正在承载;曲线骤降通常意味着链路饱和或上游清洗已介入。
相关实时测量墙示例(Layer 7)
Layer4 Dstat 常见问题
Layer4 Dstat 测量什么?
原始传输层流量:以每秒比特数(bps / Gbps)表示的带宽与每秒包数(pps)。它反映容量型负载,而非应用请求。
Layer4 Dstat 和 Layer7 Dstat 有什么区别?
Layer4 Dstat 跟踪带宽与包数(容量型攻击);Layer7 Dstat 跟踪每秒 HTTP/HTTPS 请求数(应用型攻击)。四层关注耗尽网络带宽,七层关注使应用过载。
为什么除了带宽还要看每秒包数?
小包洪泛可能在填满原始带宽之前就先耗尽路由器与防火墙的 pps 处理能力,因此 pps 往往能揭示仅看 Gbps 数字时被掩盖的真实影响。