Jaký je rozdíl mezi DDoS útoky na vrstvě 7 a vrstvě 3/4 a proč se obrana liší?

Question

Accepted Answer

Rozdíl spočívá v **které části stacku útok zneužívá**, a to určuje, jak jej detekujete a zastavíte. Útoky na vrstvě 3/4 jde o **surový objem**; útoky na vrstvě 7 jde o **nákladné, realisticky vypadající požadavky**.

## Vrstva 3/4 — volumetrické / síťové útoky

Tyto útoky se zaměřují na **síťovou a transportní vrstvu** a pokouší se saturovat šířku pásma nebo vyčerpat stav připojení, ne logiku vaší aplikace.

- **SYN flood** — otevírá TCP handshaky, ale nikdy je nedokončí, zaplňuje tabulku připojení, dokud se legitimní klienti nemohou připojit.
- **UDP flood** — bombarduje UDP pakety na náhodné porty, které donutí hostitele zpracovat a odpovědět.
- **Amplifikace / reflexe** (DNS, NTP, memcached) — podvrhuje IP adresu oběti tak, aby malé dotazy vyvolaly obrovské odpovědi zaměřené na oběť, což násobí šířku pásma útočníka 50–500krát.

**Zmírnění** jde o absorbování nebo filtrování paketů: **SYN cookies** (takže server nedrží stav, dokud se handshake nedokončí), **anycast + scrubbing centra** k rozšíření a čištění záplavy v globálních kapacitách a **upstream/ISP filtrování** k zablokování podvržených nebo nekvalitních paketů dříve, než se k vám dostanou. Samotné pakety jsou zjevně poškozené nebo neodvolané, takže filtrování je mechanické.

## Vrstva 7 — aplikační útoky

Tyto útoky se zaměřují na **aplikační vrstvu (HTTP)** s požadavky, které vypadají zcela legitimně.

- **HTTP flood** — zaplavuje skutečné endpointy (`GET /search?q=...`, `POST /login`) tak, aby každý požadavek vynutil databázový dotaz, vykreslení nebo kontrolu ověřování.

Nebezpečí spočívá v **asymetrii**: malý požadavek vás může stát drahý dotaz, takže mnohem méně šířky pásma vás položí. A protože každý požadavek je správně formátován, filtrování paketů jej nemůže rozlišit od skutečného uživatele.

**Zmírnění** musí být inteligentnější než filtrování: **WAF** k shodnutí škodlivých vzorců, **rate limiting** na IP/uživatele/token a **behaviorální analýza** (stránky výzvy, JS/CAPTCHA, fingerprinting) k oddělení botů od lidí.

## Proč se detekce liší

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Proč to záleží

Nemůžete bránit oběma nástrojem. Scrubbing centrum, které drtí 1 Tbps UDP záplavu, projde 50 000 požadavků za sekundu HTTP záplavou, protože každý požadavek vypadá planě. Senior inženýři nejdříve identifikují vrstvu, poté sáhnou po odpovídajícím ovládacím prvku — čištění na úrovni paketů a anycast pro volumetrické útoky, WAF na úrovni požadavků, rate limiting a behaviorální výzvy pro aplikační záplavy.