Hvad er forskellen mellem Layer 7 og Layer 3/4 DDoS-angreb, og hvorfor adskiller begrænsninger sig?

Question

Accepted Answer

Forskellen handler om **hvilken del af stacken angrebet misbruger**, og det bestemmer, hvordan du opdager og stopper det. Layer 3/4-angreb handler om **rå volumen**; Layer 7-angreb handler om **dyre, realistisk udseende forespørgsler**.

## Layer 3/4 — volumetriske / netværksangreb

Disse retter sig mod **netværks- og transportlagene** og forsøger at mætte båndbredden eller ødelægge forbindelsesstatus, ikke din applikationslogik.

- **SYN flood** — åbner TCP-handshakes, men fuldfører dem aldrig, hvilket fylder forbindelsesstabellen, indtil legitime klienter ikke kan forbinde.
- **UDP flood** — blæser UDP-pakker til tilfældige porte, hvilket tvinger værten til at behandle og svare.
- **Amplification / reflection** (DNS, NTP, memcached) — forfalsker offerets IP, så små forespørgsler udløser enorme svar rettet mod offeret, hvilket multiplicerer angrebsmandens båndbredde 50-500x.

**Begrænsning** handler om at absorbere eller filtrere pakker: **SYN cookies** (så serveren ikke holder tilstand, før handshaken er fuldført), **anycast + scrubbing centers** til at sprede og rense floden over global kapacitet, og **upstream/ISP-filtrering** til at droppe forfalskede eller ubrugelige pakker, før de når dig. Pakkerne selv er åbenlyst malformeret eller uanmodet, så filtrering er mekanisk.

## Layer 7 — applikationsangreb

Disse retter sig mod **applikationslaget (HTTP)** med forespørgsler, der ser helt legitime ud.

- **HTTP flood** — oversvømmer rigtige endepunkter (`GET /search?q=...`, `POST /login`), så hver forespørgsel tvinger en databaseforespørgsel, rendering eller auth-check.

Faren er **asymmetri**: en lille forespørgsel kan koste dig en tung forespørgsel, så meget mindre båndbredde kan tage dig ned. Og fordi hver forespørgsel er velformet, kan paketfiltrering ikke skelne den fra en rigtig bruger.

**Begrænsning** må være smartere end filtrering: en **WAF** til at matche ondsindet mønstre, **rate limiting** pr. IP/bruger/token, og **adfærdsanalyse** (challenge-sider, JS/CAPTCHA, fingerprinting) til at skelne bots fra mennesker.

## Hvorfor opdagelse adskiller sig

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Hvorfor det betyder noget

Du kan ikke forsvare begge dele med et enkelt værktøj. Et scrubbing center, der knuser en 1 Tbps UDP-flood, vil bølge gennem en 50.000-forespørgsler-per-sekund HTTP-flood, fordi hver forespørgsel ser gyldig ud. Seniorengineers identificerer først laget, så når de for det passende kontrol — paket-niveau scrubbing og anycast til volumetriske angreb, forespørgsels-niveau WAF, rate limiting og adfærdsmæssige udfordringer til applikationsfloder.