Ποια είναι η διαφορά μεταξύ επιθέσεων DDoS Layer 7 και Layer 3/4, και γιατί διαφέρουν οι μετριάσεις;

Question

Accepted Answer

Η διαφορά έγκειται στο **ποιο μέρος του stack κακοποιείται από την επίθεση**, και αυτό καθορίζει τον τρόπο ανίχνευσης και αποκοπής. Οι επιθέσεις Layer 3/4 αφορούν το **ακατέργαστο volume**· οι επιθέσεις Layer 7 αφορούν **δαπανηρά, ρεαλιστικά αιτήματα**.

## Layer 3/4 — volumetric / network attacks

Στοχεύουν τις **στρώμες δικτύου και μεταφοράς** και προσπαθούν να κορεστούν το εύρος ζώνης ή να εξαντλήσουν την κατάσταση σύνδεσης, όχι τη λογική της εφαρμογής σας.

- **SYN flood** — ανοίγει TCP handshakes αλλά δεν τα ολοκληρώνει ποτέ, γεμίζοντας τον πίνακα σύνδεσης έως ότου οι νόμιμοι clients δεν μπορούν να συνδεθούν.
- **UDP flood** — εκτοξεύει UDP packets σε τυχαίες θύρες, αναγκάζοντας τον host να τα επεξεργαστεί και να απαντήσει.
- **Amplification / reflection** (DNS, NTP, memcached) — απομιμείται την IP του θύματος ώστε μικρά queries να ενεργοποιούν τεράστιες απαντήσεις στοχεύοντας το θύμα, πολλαπλασιάζοντας το bandwidth του επιτιθέμενου 50-500x.

**Μετρίαση** αφορά την απορρόφηση ή το φιλτράρισμα packets: **SYN cookies** (ώστε ο server να διατηρεί κατάσταση μόνο μετά την ολοκλήρωση του handshake), **anycast + scrubbing centers** για να διασπείρουν και να καθαρίσουν την πλημμύρα σε παγκόσμια χωρητικότητα, και **upstream/ISP filtering** για να απορρίψουν παραποιημένα ή άχρηστα packets πριν φτάσουν σε εσάς. Τα packets είναι προφανώς κατά σφάλμα σχηματισμένα ή ανεπιθύμητα, οπότε το φιλτράρισμα είναι μηχανικό.

## Layer 7 — application attacks

Στοχεύουν το **application layer (HTTP)** με αιτήματα που φαίνονται εντελώς νόμιμα.

- **HTTP flood** — πλημμυρίζει πραγματικά endpoints (`GET /search?q=...`, `POST /login`) ώστε κάθε αίτημα να επιβάλλει μια database query, render ή auth check.

Ο κίνδυνος είναι η **ασυμμετρία**: ένα μικροσκοπικό αίτημα μπορεί να σας κοστίσει μια βαριά query, οπότε πολύ λιγότερο bandwidth σας κατεβάζει. Και επειδή κάθε αίτημα είναι καλά σχηματισμένο, το φιλτράρισμα packets δεν μπορεί να το διακρίνει από έναν πραγματικό χρήστη.

**Μετρίαση** πρέπει να είναι πιο έξυπνη από το φιλτράρισμα: ένα **WAF** για να αντιστοιχίσει κακόβουλα patterns, **rate limiting** ανά IP/user/token, και **behavioral analysis** (challenge pages, JS/CAPTCHA, fingerprinting) για να διαχωρίσουν τα bots από τους ανθρώπους.

## Γιατί η ανίχνευση διαφέρει

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Γιατί έχει σημασία

Δεν μπορείτε να υπερασπιστείτε και τα δύο με ένα εργαλείο. Ένα scrubbing center που συντρίβει μια πλημμύρα UDP 1 Tbps θα περάσει μια HTTP flood 50.000-request-per-second, επειδή κάθε αίτημα φαίνεται έγκυρο. Οι senior engineers αναγνωρίζουν πρώτα το layer, στη συνέχεια προσεγγίζουν το αντίστοιχο control — packet-level scrubbing και anycast για volumetric attacks, request-level WAF, rate limiting και behavioral challenges για application floods.