Rozdíl spočívá v které části stacku útok zneužívá, a to určuje, jak jej detekujete a zastavíte. Útoky na vrstvě 3/4 jde o surový objem; útoky na vrstvě 7 jde o nákladné, realisticky vypadající požadavky.
Rozdíl spočívá v které části stacku útok zneužívá, a to určuje, jak jej detekujete a zastavíte. Útoky na vrstvě 3/4 jde o surový objem; útoky na vrstvě 7 jde o nákladné, realisticky vypadající požadavky.
Tyto útoky se zaměřují na síťovou a transportní vrstvu a pokouší se saturovat šířku pásma nebo vyčerpat stav připojení, ne logiku vaší aplikace.
Zmírnění jde o absorbování nebo filtrování paketů: SYN cookies (takže server nedrží stav, dokud se handshake nedokončí), anycast + scrubbing centra k rozšíření a čištění záplavy v globálních kapacitách a upstream/ISP filtrování k zablokování podvržených nebo nekvalitních paketů dříve, než se k vám dostanou. Samotné pakety jsou zjevně poškozené nebo neodvolané, takže filtrování je mechanické.
Tyto útoky se zaměřují na aplikační vrstvu (HTTP) s požadavky, které vypadají zcela legitimně.
GET /search?q=..., POST /login) tak, aby každý požadavek vynutil databázový dotaz, vykreslení nebo kontrolu ověřování.Nebezpečí spočívá v asymetrii: malý požadavek vás může stát drahý dotaz, takže mnohem méně šířky pásma vás položí. A protože každý požadavek je správně formátován, filtrování paketů jej nemůže rozlišit od skutečného uživatele.
Zmírnění musí být inteligentnější než filtrování: WAF k shodnutí škodlivých vzorců, rate limiting na IP/uživatele/token a behaviorální analýza (stránky výzvy, JS/CAPTCHA, fingerprinting) k oddělení botů od lidí.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Nemůžete bránit oběma nástrojem. Scrubbing centrum, které drtí 1 Tbps UDP záplavu, projde 50 000 požadavků za sekundu HTTP záplavou, protože každý požadavek vypadá planě. Senior inženýři nejdříve identifikují vrstvu, poté sáhnou po odpovídajícím ovládacím prvku — čištění na úrovni paketů a anycast pro volumetrické útoky, WAF na úrovni požadavků, rate limiting a behaviorální výzvy pro aplikační záplavy.