Layer 7 અને Layer 3/4 DDoS હુમલાઓ વચ્ચે શું તફાવત છે, અને શું કારણે હળવાશ અલગ છે?

Question

Accepted Answer

તફાવત આ પર આવે છે કે **સ્ટેકના કયા ભાગનો હુમલો દુરુપયોગ કરે છે**, અને તે તમે તેને કેવી રીતે શોધશો અને તેને કેવી રીતે રોકશો તે નક્કી કરે છે। Layer 3/4 હુમલાઓ **કાચી માત્રા**ના વિશે છે; Layer 7 હુમલાઓ **મોંઘા, વાસ્તવમાં દેખાતી વિનંતીઓ**ના વિશે છે।

## Layer 3/4 — વોલ્યુમેટ્રિક / નેટવર્ક હુમલાઓ

ये **નેટવર્ક અને ટ્રાન્સપોર્ટ લેયર્સ**ને લક્ષ્য કરે છે અને બેન્ડવિડ્થને સંતૃપ્ત કરવા અથવા કનેક્શન સ્થિતિને સમાપ્ત કરવાનો પ્રયાસ કરે છે, તમારાં એપ્લીકેશન તર્કને નહીં।

- **SYN flood** — TCP હેન્ડશેક્સ ખોલે છે પરંતુ તેમને પૂર્ણ ક્યારેય કરતું નથી, જુદા જુદા ક્લાયન્ટ કનેક્ટ કરી શકતા ન હોય તેના સુધી કનેક્શન કોષ્ટક ભરે છે।
- **UDP flood** — UDP પેકેટ્સને અલગ અલગ પોર્ટ્સ પર મારે છે, હોસ્ટને તેમને પ્રક્રિયા કરવા અને જવાબ આપવા માટે બાધ્ય કરે છે।
- **Amplification / reflection** (DNS, NTP, memcached) — પીડિતનો IP બનાવે છે જેથી નાની ક્વેરીઓ વિશાળ જવાબો વીણે છે જે પીડિતને લક્ષ્ય કરે છે, હુમલાખોરની બેન્ડવિડ્થને 50-500x ગુણાકાર કરે છે।

**Mitigation** પેકેટ્સને સોખવા અથવા ફિલ્ટર કરવા વિશે છે: **SYN cookies** (જેથી સર્વર હેન્ડશેક પૂર્ણ ન થાય ત્યાં સુધી કોઈ સ્થિતિ ધરાવતું નથી), **anycast + scrubbing centers** વૈશ્વિક ક્ષમતા જરાયે પ્રવાહને ફેલાવવા અને સાફ કરવા, અને **upstream/ISP filtering** જેથી નકલી અથવા બિનોમાર્ગ પેકેટ્સ તમને પહોંચતાં પહેલાં છોડી દો. પેકેટ્સ જાતે સ્પષ્ટપણે ખરાબ રીતે બનેલા અથવા વિનંતી વિના છે, તેથી ફિલ્ટરિং યાંત્રિક છે।

## Layer 7 — એપ્લીકેશન હુમલાઓ

ये **એપ્લીકેશન લેયર (HTTP)** ને વિનંતીઓ સાથે લક્ષ્ય કરે છે જે સંપૂર્ણપણે કાયદેસર દેખાય છે।

- **HTTP flood** — વાસ્તવિક એન્ડપોઇન્ટ્સ (`GET /search?q=...`, `POST /login`) ને પ્રવાહી બનાવે છે જેથી દરેક વિનંતી ડેટાબેસ ક્વેરી, રેન્ડર અથવા auth તપાસ ફરજપાટી કરે છે।

ખતરો **અસમમિતિ** છે: એક ટીનો વિનંતી તમને ભારે ક્વેરી ખર્ચ કરી શકે છે, તેથી ઘણું ઓછું બેન્ડવિડ્થ તમને નીચે લે છે। અને કારણ કે દરેક વિનંતી સુવ્યવસ્થિત છે, પેકેટ ફિલ્ટરીંગ તેને વાસ્તવિક વપરાશકર્તા પાસેથી કહી શકતું નથી।

**Mitigation** ફિલ્ટરીંગ કરતાં સ્માર્ટ હોવું જોઈએ: **WAF** દ્વેષપૂર્ણ પેટર્નને મેચ કરવા માટે, **rate limiting** IP/user/token પ્રતિ, અને **behavioral analysis** (ચ્યાલેન્જ પૃષ્ઠ, JS/CAPTCHA, fingerprinting) બોટ્સને મનુષ્યોથી અલગ કરવા માટે।

## શું શોધ અલગ છે

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## શું મહત્વપૂર્ણ છે

તમે બે સાથે એક સાધન બંને બચાવી શકતા નથી. એક scrubbing center જે 1 Tbps UDP પ્રવાહને કચડી નાખે છે તે 50,000-request-per-second HTTP પ્રવાહ દ્વારા લહેર કરશે, કારણ કે દરેક વિનંતી માન્ય દેખાય છે. વરિષ્ઠ ઇજનેરો પ્રથમ લેયર ઓળખે છે, પછી મેળવતા નિયંત્રણ પર પહોંચે છે — volumetric હુમલાઓ માટે પેકેટ-સ્તર scrubbing અને anycast, request-level WAF, rate limiting, અને application floods માટે behavioral challenges.