লেয়ার ৭ এবং লেয়ার ৩/৪ DDoS আক্রমণের মধ্যে পার্থক্য কী, এবং কেন প্রশমন ভিন্ন?

Question

Accepted Answer

পার্থক্যটি **স্ট্যাকের কোন অংশটি আক্রমণ ব্যবহার করে** তার উপর নির্ভর করে, এবং এটি নির্ধারণ করে আপনি এটি কীভাবে সনাক্ত এবং বন্ধ করেন। লেয়ার ৩/৪ আক্রমণ হল **কাঁচা পরিমাণ**; লেয়ার ৭ আক্রমণ হল **ব্যয়বহুল, বাস্তবসম্মত দেখতে অনুরোধ**।

## লেয়ার ৩/৪ — ভলিউমেট্রিক / নেটওয়ার্ক আক্রমণ

এগুলি **নেটওয়ার্ক এবং ট্রান্সপোর্ট লেয়ার**কে লক্ষ্য করে এবং ব্যান্ডউইথ স্যাচুরেট করতে বা সংযোগ অবস্থা নিঃশেষ করতে চায়, আপনার অ্যাপ্লিকেশন লজিক নয়।

- **SYN flood** — TCP হ্যান্ডশেক খোলে কিন্তু কখনও সম্পন্ন করে না, সংযোগ টেবিল পূর্ণ করে যতক্ষণ না বৈধ ক্লায়েন্টরা সংযোগ করতে পারে না।
- **UDP flood** — র্যান্ডম পোর্টে UDP প্যাকেট পাঠায়, হোস্টকে প্রক্রিয়া এবং উত্তর দিতে বাধ্য করে।
- **অ্যামপ্লিফিকেশন / রিফ্লেকশন** (DNS, NTP, memcached) — ভিক্টিমের IP জাল করে ছোট কোয়েরিগুলি বিশাল উত্তর ট্রিগার করে যা ভিক্টিমের দিকে লক্ষ্য করা হয়, আক্রমণকারীর ব্যান্ডউইথ ৫০-৫০০ গুণ বৃদ্ধি করে।

**প্রশমন** প্যাকেট শোষণ বা ফিল্টারিং সম্পর্কে: **SYN cookies** (তাই সার্ভার হ্যান্ডশেক সম্পন্ন না হওয়া পর্যন্ত কোন অবস্থা রাখে না), **anycast + scrubbing centers** বন্যা ছড়িয়ে দিতে এবং বৈশ্বিক ক্ষমতা জুড়ে পরিষ্কার করতে, এবং **upstream/ISP filtering** জাল বা জাঙ্ক প্যাকেট ফেলতে আপনার কাছে পৌঁছানোর আগে। প্যাকেটগুলি নিজেই স্পষ্টভাবে বিকৃত বা অপ্রত্যাশিত, তাই ফিল্টারিং যান্ত্রিক।

## লেয়ার ৭ — অ্যাপ্লিকেশন আক্রমণ

এগুলি **অ্যাপ্লিকেশন লেয়ার (HTTP)**কে সম্পূর্ণ বৈধ দেখায় এমন অনুরোধ দিয়ে লক্ষ্য করে।

- **HTTP flood** — বাস্তব এন্ডপয়েন্টে বন্যা (`GET /search?q=...`, `POST /login`) যাতে প্রতিটি অনুরোধ একটি ডাটাবেস কোয়েরি, রেন্ডার বা প্রামাণিকতা পরীক্ষা বাধ্য করে।

বিপদ হল **অসমতা**: একটি ছোট অনুরোধ আপনাকে একটি ভারী কোয়েরি খরচ করতে পারে, তাই অনেক কম ব্যান্ডউইথ আপনাকে নিচে নিয়ে যায়। এবং কারণ প্রতিটি অনুরোধ সুগঠিত, প্যাকেট ফিল্টারিং এটি একটি বাস্তব ব্যবহারকারীর থেকে বলতে পারে না।

**প্রশমন** ফিল্টারিংয়ের চেয়ে স্মার্ট হতে হবে: একটি **WAF** দূষিত প্যাটার্ন মেলাতে, প্রতি IP/ব্যবহারকারী/টোকেনে **rate limiting**, এবং **behavioral analysis** (চ্যালেঞ্জ পেজ, JS/CAPTCHA, ফিঙ্গারপ্রিন্টিং) বট এবং মানুষকে আলাদা করতে।

## কেন সনাক্তকরণ আলাদা

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## কেন এটি গুরুত্বপূর্ণ

আপনি একটি টুল দিয়ে উভয় রক্ষা করতে পারবেন না। একটি scrubbing center যা ১ Tbps UDP বন্যা পুষিয়ে ফেলে বড় করে তুলবে একটি ৫০,০০০-অনুরোধ-প্রতি-সেকেন্ড HTTP বন্যা, কারণ প্রতিটি অনুরোধ বৈধ দেখায়। সিনিয়র ইঞ্জিনিয়াররা প্রথমে লেয়ার সনাক্ত করে, তারপর মেলানো নিয়ন্ত্রণে পৌঁছায় — ভলিউমেট্রিক আক্রমণের জন্য প্যাকেট-স্তর scrubbing এবং anycast, অ্যাপ্লিকেশন বন্যার জন্য অনুরোধ-স্তর WAF, rate limiting এবং behavioral challenges।