Welcher Unterschied besteht zwischen Layer-7- und Layer-3/4-DDoS-Angriffen, und warum unterscheiden sich die Abwehrmaßnahmen?

Question

Accepted Answer

Der Unterschied ergibt sich aus **welcher Teil des Stacks angegriffen wird**, und das bestimmt, wie man ihn erkennt und stoppt. Layer-3/4-Angriffe sind **reine Volumen**; Layer-7-Angriffe sind **teure, realistisch aussehende Anfragen**.

## Layer 3/4 — volumetrische / Netzwerk-Angriffe

Diese zielen auf die **Netzwerk- und Transportschichten** ab und versuchen, die Bandbreite zu sättigen oder den Verbindungszustand zu erschöpfen, nicht Ihre Anwendungslogik.

- **SYN-Flood** — öffnet TCP-Handshakes, schließt sie aber nie ab und füllt die Verbindungstabelle auf, bis legitime Clients sich nicht verbinden können.
- **UDP-Flood** — sendet UDP-Pakete massenhaft an zufällige Ports und zwingt den Host, sie zu verarbeiten und zu beantworten.
- **Amplification / Reflection** (DNS, NTP, memcached) — fälscht die IP des Opfers, so dass kleine Anfragen riesige Antworten auslösen, die auf das Opfer abzielen und die Angreifer-Bandbreite um das 50–500-Fache vervielfachen.

**Mitigation** geht es darum, Pakete zu absorbieren oder zu filtern: **SYN-Cookies** (so dass der Server keinen Zustand hält, bis der Handshake abgeschlossen ist), **Anycast + Scrubbing-Center**, um die Flut über globale Kapazität zu verteilen und zu bereinigen, und **Upstream/ISP-Filterung**, um gefälschte oder fehlerhafte Pakete zu löschen, bevor sie Sie erreichen. Die Pakete selbst sind offensichtlich malformed oder unaufgefordert, daher ist Filterung mechanisch.

## Layer 7 — Anwendungs-Angriffe

Diese zielen auf die **Anwendungsschicht (HTTP)** mit Anfragen ab, die vollkommen legitim aussehen.

- **HTTP-Flood** — flutet echte Endpunkte (`GET /search?q=...`, `POST /login`), so dass jede Anfrage eine Datenbankabfrage, ein Rendering oder eine Auth-Prüfung erzwingt.

Die Gefahr ist **Asymmetrie**: eine winzige Anfrage kann Sie viel kosten (schwere Abfrage), daher sind deutlich weniger Bandbreite nötig, um Sie zum Absturz zu bringen. Und weil jede Anfrage wohlgeformt ist, kann Paket-Filterung sie nicht von einem echten Benutzer unterscheiden.

**Mitigation** muss intelligenter als Filterung sein: eine **WAF**, um böswillige Muster zu erkennen, **Rate Limiting** pro IP/Benutzer/Token und **Verhaltensanalyse** (Challenge-Seiten, JS/CAPTCHA, Fingerprinting), um Bots von Menschen zu unterscheiden.

## Warum die Erkennung unterschiedlich ist

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Warum es wichtig ist

Sie können nicht beide mit einem Werkzeug verteidigen. Ein Scrubbing-Center, das eine 1-Tbps-UDP-Flut erledigt, wird eine 50.000-Anfragen-pro-Sekunde-HTTP-Flut durchlassen, weil jede Anfrage gültig aussieht. Senior Engineers identifizieren zuerst die Schicht und greifen dann zur passenden Kontrolle – Paket-Level-Scrubbing und Anycast für volumetrische Angriffe, Request-Level-WAF, Rate Limiting und Verhaltens-Challenges für Anwendungsfluten.