Razlika se svodi na koji dio stacka napad zloupotrebljava, a to određuje kako detektujete i zaustavite napad. Napadi na Sloju 3/4 su oko neobrađene količine; napadi na Sloju 7 su oko skupih, realistično izgljedajućih zahtjeva.
Razlika se svodi na koji dio stacka napad zloupotrebljava, a to određuje kako detektujete i zaustavite napad. Napadi na Sloju 3/4 su oko neobrađene količine; napadi na Sloju 7 su oko skupih, realistično izgljedajućih zahtjeva.
Ovi napadi ciljaju mrežni i transportni sloj i pokušavaju zasititi propusnu moć ili iscrpsti stanje konekcije, a ne logiku vaše aplikacije.
Zaštita je o apsorpciji ili filtriranju paketa: SYN kolačići (tako da poslužitelj ne drži stanje dok se rukovanje ne završi), anycast + čišćenja centri za raspodjelu i čišćenje poplave na globalnom kapacitetu, i uzvodno/ISP filtriranje za odbacivanje lažnih ili nepotrebnih paketa prije nego što vas dosegnu. Sami paketi su očito neispravni ili neželjeni, zato je filtriranje mehaničko.
Ovi napadi ciljaju aplikacijski sloj (HTTP) zahtjevima koji izgledaju potpuno legitimno.
GET /search?q=..., POST /login) tako da svaki zahtjev prisiljava upiti na bazu podataka, renderiranje ili provjeru autentičnosti.Opasnost je asimetrija: mali zahtjev može vas koštati teške upita, pa je potrebna mnogo manja propusna moć da vas sruši. I budući da je svaki zahtjev dobro oblikovan, filtriranje paketa ne može razlikovati ga od pravi korisnik.
Zaštita mora biti pametnija od filtriranja: WAF za podudaranje zloupotrebljivih uzoraka, ograničenje brzine po IP/korisnik/tokenu, i analiza ponašanja (stranice izazova, JS/CAPTCHA, digitalni otisci) da razdvojite botove od ljudi.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Ne možete braniti oboje sa jednim alatom. Čišćenja centri koji drobljenje 1 Tbps UDP poplave će propustiti 50,000-zahtjeva-po-sekundi HTTP poplave, jer svaki zahtjev izgleda validan. Iskusni inženjeri prvo identificiraju sloj, zatim seže za odgovarajućom kontrolom — filtriranje na razini paketa i anycast za volumetrijske napade, WAF na razini zahtjeva, ograničenje brzine, i ponašajne izazove za poplave aplikacija.