Mikä on ero Layer 7 ja Layer 3/4 DDoS-hyökkäysten välillä, ja miksi niiden torjuntakeinot eroavat?

Question

Accepted Answer

Ero johtuu siitä, **missä osassa pinoa hyökkäys kohdistuu**, ja se määrää, miten sen havaitseminen ja pysäyttäminen tapahtuu. Layer 3/4 -hyökkäykset perustuvat **raakavolyymiin**; Layer 7 -hyökkäykset perustuvat **raskaaseen, realistisen näköisiin pyyntöihin**.

## Layer 3/4 — volumetriset / verkkokerroksen hyökkäykset

Nämä kohdistuvat **verkko- ja kuljetuskerrokseen** ja yrittävät kyllästää kaistanleveyden tai kuluttaa yhteystilaa eikä sovelluksen logiikkaa.

- **SYN flood** — avaa TCP-kättelyitä, mutta ei koskaan suorita niitä loppuun, täyttäen yhteystaulukon kunnes lailliset asiakkaat eivät voi muodostaa yhteyttä.
- **UDP flood** — ampuu UDP-paketteja satunnaisiin portteihin, pakottaen isäntäkoneen käsittelemään ja vastaamaan niihin.
- **Vahvistus / heijastus** (DNS, NTP, memcached) — väärentää uhrin IP-osoitteen, jotta pienet kyselyt aiheuttavat valtavia vastauksia uhria kohti, kertomalla hyökkääjän kaistanleveyden 50–500-kertaisesti.

**Torjunta** on pakettien absorboimista tai suodattamista: **SYN cookies** (jotta palvelin ei pidä tilaa ennen kuin kättely valmistuu), **anycast + puhdistuskeskukset** liikenteen levittämiseen ja puhdistamiseen globaalilla kapasiteetilla, ja **ylävirtaan/ISP-suodatus** väärennettyjen tai roskaisten pakettien pudottamiseen ennen sinua. Paketit ovat itsessään ilmeisen väärin muodostetuja tai pyytämättömiä, joten suodattaminen on mekaanista.

## Layer 7 — sovellusterroksen hyökkäykset

Nämä kohdistuvat **sovellusterrokseen (HTTP)** pyyntöjen kanssa, jotka näyttävät täysin laillisilta.

- **HTTP flood** — tulittaa todellisia päätepisteitä (`GET /search?q=...`, `POST /login`), joten jokainen pyyntö pakottaa tietokannan kyselyn, renderöinnin tai todennuksen tarkistuksen.

Vaara on **epäsymmetriassa**: pieni pyyntö voi maksaa sinulle raskaasta kyselystä, joten paljon pienempi kaistanleveys vie sinut alas. Ja koska jokainen pyyntö on hyvin muodostettu, pakettien suodattaminen ei voi erottaa sitä oikeasta käyttäjästä.

**Torjunta** on oltava älykkäämpi kuin suodattaminen: **WAF** haitallisten kuvioiden tunnistamiseen, **nopeusrajoitus** IP/käyttäjä/tunnuksittain, ja **käyttäytymisanalyysi** (haastesivut, JS/CAPTCHA, sormenjälki) bottien ja ihmisten erottamiseen.

## Miksi tunnistaminen eroaa

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Miksi se on tärkeää

Et voi puolustaa molempia yhdellä työkalulla. Puhdistuskeskus, joka murskaaa 1 Tbps UDP-tulvan, päästää läpi 50 000 pyynnön sekunnissa olevan HTTP-tulvan, koska jokainen pyyntö näyttää pätevältä. Vanhemmat insinöörit tunnistavat kerroksen ensin, sitten valitsevat sopivan kontrollin — pakettitason puhdistuksen ja anycastin volumetrisille hyökkäyksille, pyynnön tasolla olevan WAF:n, nopeusrajoituksen ja käyttäytymisen haasteita sovelluksessa olevan tulvan osalta.