يعود الفرق إلى أي جزء من المكدس يتم استغلاله بواسطة الهجوم، وهذا هو الذي يحدد كيفية الكشف والإيقاف. هجمات النطاق 3/4 تتعلق بـ الحجم الخام؛ هجمات النطاق 7 تتعلق بـ الطلبات المكلفة والواقعية المظهر.
يعود الفرق إلى أي جزء من المكدس يتم استغلاله بواسطة الهجوم، وهذا هو الذي يحدد كيفية الكشف والإيقاف. هجمات النطاق 3/4 تتعلق بـ الحجم الخام؛ هجمات النطاق 7 تتعلق بـ الطلبات المكلفة والواقعية المظهر.
هذه تستهدف طبقات الشبكة والنقل وتحاول تشبع النطاق الترددي أو استنزاف حالة الاتصال، وليس منطق التطبيق الخاص بك.
التخفيف يتعلق بامتصاص أو تصفية الحزم: ملفات تعريف SYN (بحيث لا يحتفظ الخادم بأي حالة حتى اكتمال المصافحة)، anycast + مراكز التنظيف لنشر وتنظيف الفيضان عبر السعة العالمية، و التصفية بواسطة المنبع/مزود الخدمة لحذف الحزم المزيفة أو غير المرغوبة قبل وصولها إليك. الحزم نفسها بوضوح مشكلة الشكل أو غير مطلوبة، لذا التصفية آلية.
هذه تستهدف طبقة التطبيق (HTTP) بطلبات تبدو شرعية تماماً.
GET /search?q=..., POST /login) بحيث يفرض كل طلب استعلام قاعدة بيانات أو عرض أو فحص مصادقة.الخطر هو عدم التناسب: طلب صغير يمكن أن يكلفك استعلاماً ثقيلاً، لذا نطاق ترددي أقل بكثير يأخذك للأسفل. وبما أن كل طلب منسق بشكل صحيح، تصفية الحزم لا يمكنها تمييزه عن مستخدم حقيقي.
التخفيف يجب أن يكون أذكى من التصفية: WAF لمطابقة الأنماط الخبيثة، تحديد معدل لكل IP/مستخدم/رمز، و التحليل السلوكي (صفحات التحدي، JS/CAPTCHA، بصمات الأصابع) للفصل بين الروبوتات والبشر.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
لا يمكنك الدفاع عن كليهما بأداة واحدة. مركز تنظيف يحطم فيضان UDP بقوة 1 Tbps سيسمح بفيضان HTTP بـ 50,000 طلب في الثانية، لأن كل طلب يبدو صحيحاً. يحدد المهندسون الخبراء الطبقة أولاً، ثم يصلون إلى التحكم المطابق — التنظيف على مستوى الحزمة و anycast لهجمات حجمية، WAF على مستوى الطلب وتحديد المعدل والتحديات السلوكية لفيضانات التطبيق.