Layer 7 आणि Layer 3/4 DDoS हल्ल्यांमध्ये काय फरक आहे, आणि उपचार वेगवेगळे का असतात?

Question

Accepted Answer

फरक हा येथे येतो की **स्टॅकचा कोणता भाग हल्ल्याचे लक्ष्य आहे**, आणि त्यामुळे आपण त्याचे शोध कसे घेऊ आणि त्यास कसे रोखू हे ठरते. Layer 3/4 हल्ले **कच्च्या व्हॉल्यूम** बद्दल असतात; Layer 7 हल्ले **महाग, वास्तववादी दिसणारे विनंत्या** बद्दल असतात.

## Layer 3/4 — व्हॉल्यूमेट्रिक / नेटवर्क हल्ले

हे **नेटवर्क आणि ट्रान्सपोर्ट लेयर्स** ला लक्ष्य करतात आणि बँडविड्थ संपवण्याचा किंवा कनेक्शन स्टेट संपवण्याचा प्रयत्न करतात, तुमच्या अ‍ॅप्लिकेशन लॉजिकला नाही.

- **SYN flood** — TCP हँडशेक उघडतो पण कधीही त्यांना पूर्ण करत नाही, कनेक्शन टेबल भरतो जोपर्यंत वैध क्लायंट्स कनेक्ट होऊ शकत नाहीत.
- **UDP flood** — यादृच्छिक पोर्टवर UDP पॅकेट्स वर्षा करतो, होस्टला त्यांचे प्रक्रिया करण्यास आणि उत्तर देण्यास भाग पाडतो.
- **Amplification / reflection** (DNS, NTP, memcached) — पीडितेचा IP बनावट करतो जेणेकरून लहान प्रश्न पीडितेकडे लक्ष्य केलेल्या विशाल उत्तरांना ट्रिगर करतात, हल्लेखोरचा बँडविड्थ 50-500x गुणा करतात.

**उपचार** पॅकेट्स शोषून घेण्यास किंवा फिल्टर करण्यास बद्दल आहे: **SYN cookies** (जेणेकरून सर्व्हर हँडशेक पूर्ण होईपर्यंत कोणतीही स्टेट ठेवत नाही), **anycast + scrubbing centers** बाढ पसरवण्यास आणि जागतिक क्षमतेत साफ करण्यास, आणि **upstream/ISP filtering** बनावट किंवा कचरा पॅकेट्स टाकून देण्यास आपल्यापर्यंत पोहोचण्यापूर्वी. पॅकेट्स स्वतः स्पष्टपणे विकृत किंवा अनुरोधी आहेत, तर फिल्टरिंग यांत्रिक आहे.

## Layer 7 — अ‍ॅप्लिकेशन हल्ले

हे **अ‍ॅप्लिकेशन लेयर (HTTP)** ला विनंत्यांसह लक्ष्य करतात जे पूर्णपणे वैध दिसतात.

- **HTTP flood** — वास्तविक एंडपॉइंट्स (`GET /search?q=...`, `POST /login`) मध्ये बाढ घालतो जेणेकरून प्रत्येक विनंती डेटाबेस प्रश्न, रेंडर, किंवा auth चेक करण्यास भाग पाडते.

धोका **असमरूपता** मध्ये आहे: एक लहान विनंती आपणासाठी भारी प्रश्नाची किंमत असू शकते, तर बहुत कमी बँडविड्थ आपणाला खाली घेते. आणि कारण प्रत्येक विनंती सुव्यवस्थित आहे, पॅकेट फिल्टरिंग त्याला वास्तविक वापरकर्त्यापासून वेगळे करू शकत नाही.

**उपचार** फिल्टरिंगपेक्षा अधिक स्मार्ट असणे आवश्यक आहे: दुर्भावनापूर्ण पॅटर्न जुळवण्यास **WAF**, IP/user/token प्रति **rate limiting**, आणि **behavioral analysis** (challenge pages, JS/CAPTCHA, fingerprinting) बॉट्स मानवांपासून वेगळे करण्यास.

## शोध का वेगवेगळा आहे

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## हे महत्वाचे का आहे

आपण दोन्हीला एक साधनाने बचाव करू शकत नाही. एक scrubbing center जो 1 Tbps UDP बाढ दृढ करतो तो 50,000-request-per-second HTTP बाढ लहान करेल, कारण प्रत्येक विनंती वैध दिसते. वरिष्ठ अभियंते प्रथम लेयर ओळखतात, नंतर जुळणारे नियंत्रण वापरतात — volumetric हल्ल्यांसाठी पॅकेट-स्तरीय scrubbing आणि anycast, application floods साठी request-level WAF, rate limiting, आणि behavioral challenges.