La diferencia se reduce a qué parte del stack es abusada por el ataque, y eso determina cómo detectas y lo detienes. Los ataques de Capa 3/4 se tratan de volumen bruto; los ataques de Capa 7 se tratan de solicitudes caras que parecen realistas.
La diferencia se reduce a qué parte del stack es abusada por el ataque, y eso determina cómo detectas y lo detienes. Los ataques de Capa 3/4 se tratan de volumen bruto; los ataques de Capa 7 se tratan de solicitudes caras que parecen realistas.
Estos atacan las capas de red y transporte e intentan saturar el ancho de banda o agotar el estado de conexión, no tu lógica de aplicación.
La mitigación se trata de absorber o filtrar paquetes: SYN cookies (para que el servidor no mantenga estado hasta que se complete el handshake), anycast + centros de limpieza para dispersar y limpiar la inundación en capacidad global, y filtrado upstream/ISP para descartar paquetes suplantados o basura antes de que lleguen a ti. Los paquetes mismos están obviamente malformados o no solicitados, así que el filtrado es mecánico.
Estos atacan la capa de aplicación (HTTP) con solicitudes que parecen completamente legítimas.
GET /search?q=..., POST /login) para que cada solicitud fuerce una consulta a base de datos, renderizado o verificación de autenticación.El peligro es la asimetría: una solicitud diminuta puede costarte una consulta pesada, así que mucho menos ancho de banda te derriba. Y como cada solicitud está bien formada, el filtrado de paquetes no puede distinguirla de un usuario real.
La mitigación debe ser más inteligente que el filtrado: un WAF para coincidir con patrones maliciosos, rate limiting por IP/usuario/token, y análisis de comportamiento (páginas de desafío, JS/CAPTCHA, fingerprinting) para separar bots de humanos.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
No puedes defender ambos con una sola herramienta. Un centro de limpieza que tritura una inundación UDP de 1 Tbps dejará pasar una inundación HTTP de 50,000 solicitudes por segundo, porque cada solicitud parece válida. Los ingenieros senior identifican la capa primero, luego recurren al control correspondiente — limpieza a nivel de paquete y anycast para ataques volumétricos, WAF a nivel de solicitud, rate limiting y desafíos de comportamiento para inundaciones de aplicación.