차이는 공격이 스택의 어느 부분을 악용하는가로 귀결되며, 그것이 탐지와 차단 방법을 결정합니다. Layer 3/4 공격은 순수 볼륨에 관한 것이고, Layer 7 공격은 비싸고 실제처럼 보이는 요청에 관한 것입니다.
Layer 3/4 — 볼류메트릭 / 네트워크 공격
이들은 애플리케이션 로직이 아니라 네트워크 및 전송 계층을 노려 대역폭을 포화시키거나 연결 상태를 고갈시키려 합니다.
차이는 공격이 스택의 어느 부분을 악용하는가로 귀결되며, 그것이 탐지와 차단 방법을 결정합니다. Layer 3/4 공격은 순수 볼륨에 관한 것이고, Layer 7 공격은 비싸고 실제처럼 보이는 요청에 관한 것입니다.
이들은 애플리케이션 로직이 아니라 네트워크 및 전송 계층을 노려 대역폭을 포화시키거나 연결 상태를 고갈시키려 합니다.
주니어부터 시니어까지 상세한 답변이 포함된 IT 면접 질문 라이브러리.
후원하기완화는 패킷을 흡수하거나 필터링하는 것입니다: SYN cookies(핸드셰이크가 완료될 때까지 서버가 상태를 보유하지 않음), anycast + scrubbing center로 전 세계 용량에 flood를 분산·정화, 그리고 upstream/ISP 필터링으로 위조되거나 쓰레기인 패킷을 당신에게 닿기 전에 drop. 패킷 자체가 명백히 변형되었거나 요청되지 않은 것이므로 필터링은 기계적입니다.
이들은 완전히 정당해 보이는 요청으로 **애플리케이션 계층(HTTP)**을 노립니다.
GET /search?q=..., POST /login)를 범람시켜 각 요청이 데이터베이스 쿼리, 렌더링, 또는 인증 검사를 강제하게 합니다.위험은 비대칭성입니다. 작은 요청 하나가 무거운 쿼리를 유발할 수 있으므로 훨씬 적은 대역폭으로도 당신을 무너뜨립니다. 그리고 각 요청이 올바른 형식이라 패킷 필터링은 실제 사용자와 구별할 수 없습니다.
완화는 필터링보다 똑똑해야 합니다: 악성 패턴을 매칭하는 WAF, IP/user/token별 rate limiting, 그리고 봇과 사람을 분리하는 행동 분석(챌린지 페이지, JS/CAPTCHA, fingerprinting).
Layer 3/4 : 볼륨 + 프로토콜 이상으로 탐지 -> 패킷 필터/흡수 (찾기 쉬움)
Layer 7 : 행동으로 탐지 (실제 트래픽처럼 보임) -> 요청 수준 지능 필요
하나의 도구로 둘 다 방어할 수 없습니다. 1 Tbps UDP flood를 분쇄하는 scrubbing center는 초당 5만 요청의 HTTP flood를 그냥 통과시킵니다. 각 요청이 유효해 보이기 때문입니다. 시니어 엔지니어는 먼저 계층을 식별한 뒤 그에 맞는 통제를 꺼냅니다 — 볼류메트릭 공격에는 패킷 수준 scrubbing과 anycast, 애플리케이션 flood에는 요청 수준 WAF, rate limiting, 행동 챌린지.