違いはスタックのどの部分が悪用されるかに起因し、それが検出と防止の方法を決定します。Layer 3/4攻撃は生のボリュームに関するもの、Layer 7攻撃はコストの高い、現実的に見えるリクエストに関するものです。
Layer 3/4 — ボリューム型/ネットワーク攻撃
これらはをターゲットにし、アプリケーションロジックではなく、帯域幅を飽和させるか接続状態を枯渇させようとします。
対策はパケットの吸収またはフィルタリングに関するもの:SYN cookies(ハンドシェイク完了までサーバーが状態を保持しないようにする)、エニキャスト + スクラビングセンターで洪水をグローバルキャパシティ全体に分散・クリーニングする、および上流/ISP フィルタリングでスプーフされた不正なパケットを到達前にドロップします。パケット自体は明らかに不正形式または無配信なので、フィルタリングは機械的です。
これらは**アプリケーション層(HTTP)**をターゲットにし、完全に正当に見えるリクエストで攻撃します。
GET /search?q=...、POST /login)に大量のリクエストを送信し、各リクエストがデータベースクエリ、レンダリング、または認証チェックを強制します。危険は非対称性です。小さなリクエストが大きなコストのクエリを強制することができ、はるかに少ない帯域幅でシステムダウンさせられます。また、各リクエストは整形式なので、パケットフィルタリングでは実ユーザーと区別できません。
対策はフィルタリングより賢くある必要があります。悪意のあるパターンにマッチさせる WAF、IP/ユーザー/トークンごとのレート制限、ボットと人間を分離する振る舞い分析(チャレンジページ、JS/CAPTCHA、フィンガープリンティング)です。
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
どちらも 1 つのツールでは防御できません。1 Tbps の UDP フラッドを粉砕するスクラビングセンターは 50,000 req/sec の HTTP フラッドを通してしまいます。各リクエストが有効に見えるからです。シニアエンジニアはまずレイヤーを特定し、対応するコントロールに手を伸ばします。ボリューム型攻撃にはパケットレベルのスクラビングとエニキャスト、アプリケーションフラッドにはリクエストレベルの WAF、レート制限、振る舞いチャレンジです。