X'inhu d-differenza bejn attakki DDoS ta' Layer 7 u Layer 3/4, u għaliex il-mitigazzjonijiet huma differenti?

Question

Accepted Answer

Id-differenza tinzil għal **liema parti tal-stack l-attakk jiesploata**, u dan jiddetta kif tiskopri u twaqqaf. Attakki ta' Layer 3/4 huma dwar **volum raw**; attakki ta' Layer 7 huma dwar **requests għalijin u li jidher li huma realistitici**.

## Layer 3/4 — attakki volumetriċi / network

Daw jittargettjaw l-**network u transport layers** u jiprovaw jasatraw il-bandwidth jew jixawwfu l-connection state, mhux il-logika tal-applikazzjoni tiegħek.

- **SYN flood** — tiftaħ TCP handshakes imma qatt ma tkompiljahom, mimlija t-tabella tal-konnessjoni sakemm il-kliyenti leġittimu ma jistgħux ikkonettaw.
- **UDP flood** — tillaħ UDP packets lil-portali random, u tifża lill-host biex jipproċessa u jirrispondi.
- **Amplification / reflection** (DNS, NTP, memcached) — tisponja l-IP tal-vittima sabiex queries żgħar ijġġeneraw risposti enormi mmirat lejn il-vittima, u jimmultiplikaw il-bandwidth tal-attakkant 50-500x.

**Il-mitigazzjoni** hija dwar la tissorbi jew tiffiltri l-packets: **SYN cookies** (sabiex is-server jżomm l-ebda stat sakemm il-handshake ma jkomplax), **anycast + scrubbing centers** biex tinfirex u tnnaddfa l-flood fuq il-kapaċità globali, u **upstream/ISP filtering** biex taħsad l-packets spoofed jew jundeċided qabel ma jilħqu. Il-packets nfushom huma ovvjament malformed jew unsolicited, għalhekk il-filtrazzjoni hija mekanika.

## Layer 7 — attakki tal-applikazzjoni

Daw jittargettjaw l-**application layer (HTTP)** b'requests li jidher li huma kompletament leġittimu.

- **HTTP flood** — tillaħ endpoints veri (`GET /search?q=...`, `POST /login`) sabiex kull request ifża database query, render, jew auth check.

Il-periklu hu **asimmetrija**: request żgħir jista' jkostaħ query tqila, għalhekk bandwidth anqas belu jimneħħiok. U minħabba li kull request hu well-formed, il-packet filtering ma jistax jgħid li mhu minn utent veri.

**Il-mitigazzjoni** trid tkun aktar intelliġenti mill-filtrazzjoni: **WAF** biex taqbil patterns ħżiena, **rate limiting** per IP/user/token, u **behavioral analysis** (challenge pages, JS/CAPTCHA, fingerprinting) biex tissepara l-bots mill-bnedmin.

## Għaliex il-iskoperta hija differenti

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Għaliex hu importanti

M'għandekx tista' tiddefendi t-tnejn b'għodda waħda. Scrubbing center li taċċaħ 1 Tbps UDP flood se tgħaddi minn 50,000-request-per-second HTTP flood, minħabba li kull request jidher validu. Engineers senjuri jidentifikaw il-layer l-ewwel, imbagħad jiffissaw għall-kontroll li jaqbel — packet-level scrubbing u anycast għal attakki volumetriċi, WAF ta' livell request, rate limiting, u behavioral challenges għal application floods.