Kokia yra skirtis tarp 7-ojo ir 3/4-ojo sluoksnio DDoS atakų ir kodėl jų neutralizavimas skiriasi?

Question

Accepted Answer

Skirtis susideda iš **kurios nuomos atakos pasiektos dalies**, o tai nulemia, kaip jūs ją aptinkate ir sustabdote. 3/4-ojo sluoksnio atakos yra apie **grynąjį tūrį**; 7-ojo sluoksnio atakos yra apie **brangias, realistiško atvaizdo užklausas**.

## 3/4-asis sluoksnis — tūrinės / tinklo atakos

Šios atakos siekia **tinklo ir transporto sluoksnių** ir mėgina prisotinti pralaidumą arba išeikvointi ryšio būseną, ne jūsų programos logiką.

- **SYN flood** — atidaro TCP handshakes, bet niekada jų nebaigią, užpildydama ryšio lentelę kol tikri klientai negali prisijungti.
- **UDP flood** — šaudo UDP paketus į atsitiktines prievadus, versdama serverį juos apdoroti ir atsakyti.
- **Amplifikacija / refleksija** (DNS, NTP, memcached) — suklastoja aukos IP adresą, todėl maži užklausimai sukelia didžiulius atsakymus nukreiptus į auką, padidindami atakavimo tūrį 50–500 kartų.

**Neutralizavimas** susideda iš paketų sugerimo arba filtravimo: **SYN cookies** (kad serveris neiškeitų būsenos kol handshake nesibaigs), **anycast + scrubbing centers** pavartojiui pasidalinti ir išvalyti potvynį visame pasaulio pajėgumų tinkle ir **upstream/ISP filtravimas** norėdami atmesti suklastotus ar nereikalingus paketus prieš jie pasiekia jus. Patys paketai yra aiškiai sugadinti arba nereikalingi, todėl filtravimas yra mechaninis.

## 7-asis sluoksnis — programų atakos

Šios atakos siekia **programų sluoksnį (HTTP)** su užklausomis, kurios atrodo visiškai teisėtos.

- **HTTP flood** — atakauja realiausius endpointus (`GET /search?q=...`, `POST /login`) todėl kiekviena užklausa priverčia atlikti duomenų bazės užklausą, reliacinę ar autentifikavimo patikrą.

Pavojus yra **asimetrija**: maža užklausa gali jums kainuoti brangią užklausą, todėl dar mažesnis pralaidumas jus nušluoja. Ir kadangi kiekviena užklausa yra gerai suformuota, paketų filtravimas negali jos atskirti nuo tikro naudotojo.

**Neutralizavimas** turi būti labiau intelektualus nei filtravimas: **WAF** šablonus atitinkančius piktybines, **rate limiting** kiekvienam IP/naudotojui/tokenui ir **elgesio analizė** (iš anksto nustatyti puslipiai, JS/CAPTCHA, fingerprinting) norint atskirti botus nuo žmonių.

## Kodėl aptikimas skiriasi

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Kodėl tai svarbu

Jūs negalite gintis nuo abiejų su vienu įrankiu. Scrubbing centras, kuris žudo 1 Tbps UDP potvynį, praleido 50 000 užklausų per sekundę HTTP potvynį, nes kiekviena užklausa atrodo galiojanti. Vyresniai inžinieriai pirmiausia identifikuoja sluoksnį, tada taiką atitinkantį valdymą — paketų lygio scrubbing ir anycast tūrinėms atakoms, užklausų lygio WAF, rate limiting ir elgesio iššūkius programų potvyniams.