Koja je razlika između DDoS napada na Sloju 7 i Sloju 3/4, i zašto se zaštite razlikuju?

Question

Accepted Answer

Razlika se svodi na **koji dio stacka napad zloupotrebljava**, a to određuje kako detektujete i zaustavite napad. Napadi na Sloju 3/4 su oko **neobrađene količine**; napadi na Sloju 7 su oko **skupih, realistično izgljedajućih zahtjeva**.

## Sloj 3/4 — volumetrijski / mrežni napadi

Ovi napadi ciljaju **mrežni i transportni sloj** i pokušavaju zasititi propusnu moć ili iscrpsti stanje konekcije, a ne logiku vaše aplikacije.

- **SYN flood** — otvara TCP rukovanja ali ih nikad ne završava, popunjavajući tablicu konekcija dok legitimni klijenti ne mogu povezati se.
- **UDP flood** — ispaljuje UDP pakete na slučajne portove, forsirajući domaćina da obradi i odgovori.
- **Pojačanje / refleksija** (DNS, NTP, memcached) — falsificira IP obeću tako da male upite potaknu ogromne odgovore usmjerene prema žrtvi, množeći napadačevu propusnu moć 50-500 puta.

**Zaštita** je o apsorpciji ili filtriranju paketa: **SYN kolačići** (tako da poslužitelj ne drži stanje dok se rukovanje ne završi), **anycast + čišćenja centri** za raspodjelu i čišćenje poplave na globalnom kapacitetu, i **uzvodno/ISP filtriranje** za odbacivanje lažnih ili nepotrebnih paketa prije nego što vas dosegnu. Sami paketi su očito neispravni ili neželjeni, zato je filtriranje mehaničko.

## Sloj 7 — napadi na aplikaciju

Ovi napadi ciljaju **aplikacijski sloj (HTTP)** zahtjevima koji izgledaju potpuno legitimno.

- **HTTP flood** — poplavaljuje prave krajnje točke (`GET /search?q=...`, `POST /login`) tako da svaki zahtjev prisiljava upiti na bazu podataka, renderiranje ili provjeru autentičnosti.

Opasnost je **asimetrija**: mali zahtjev može vas koštati teške upita, pa je potrebna mnogo manja propusna moć da vas sruši. I budući da je svaki zahtjev dobro oblikovan, filtriranje paketa ne može razlikovati ga od pravi korisnik.

**Zaštita** mora biti pametnija od filtriranja: **WAF** za podudaranje zloupotrebljivih uzoraka, **ograničenje brzine** po IP/korisnik/tokenu, i **analiza ponašanja** (stranice izazova, JS/CAPTCHA, digitalni otisci) da razdvojite botove od ljudi.

## Zašto se detektiranje razlikuje

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Zašto je to važno

Ne možete braniti oboje sa jednim alatom. Čišćenja centri koji drobljenje 1 Tbps UDP poplave će propustiti 50,000-zahtjeva-po-sekundi HTTP poplave, jer svaki zahtjev izgleda validan. Iskusni inženjeri prvo identificiraju sloj, zatim seže za odgovarajućom kontrolom — filtriranje na razini paketa i anycast za volumetrijske napade, WAF na razini zahtjeva, ograničenje brzine, i ponašajne izazove za poplave aplikacija.