Layer 7 र Layer 3/4 DDoS आक्रमणहरूबीचको भिन्नता के हो, र किन शमनहरू फरक छन्?

Question

Accepted Answer

भिन्नता **स्ट्याकको कुन भागको आक्रमणले दुरुपयोग गर्छ** मा आसन्न छ, र यसले तपाइँलाई कसरी पत्ता लगाउने र रोक्ने हो भन्ने कुरा तय गर्छ। Layer 3/4 आक्रमणहरू **कच्चा भोल्युम** को बारेमा छन्; Layer 7 आक्रमणहरू **महँगो, वास्तविक-दिखने वाले अनुरोधहरू** को बारेमा छन्।

## Layer 3/4 — भोल्यूमेट्रिक / नेटवर्क आक्रमण

यी **नेटवर्क र ट्रान्सपोर्ट लेयर** लक्ष्य गर्छन् र ब्यान्डविथ संतृप्त गर्न वा जडान अवस्था समाप्त गर्न प्रयास गर्छन्, तपाइँको अनुप्रयोग तर्कनीति होइन।

- **SYN flood** — TCP ह्यान्डशेकहरू खोल्छ तर कहिले पूरा गर्दैन, जडान तालिका भरिन्छ जब सम्म वैध ग्राहकहरू जडान गर्न सक्दैनन्।
- **UDP flood** — अनियमित पोर्टहरूमा UDP प्याकेटहरू गोलीबारी गर्छ, होस्टलाई प्रक्रिया र जवाफ दिन बाध्य गर्छ।
- **Amplification / reflection** (DNS, NTP, memcached) — पीडितको IP को जालो गर्छ ताकि साना क्वेरीहरूले पीडितलाई लक्ष्य गरी ठूला जवाबहरू ट्रिगर गर्छ, आक्रमणकारीको ब्यान्डविथ 50-500x गुणन गर्छ।

**शमन** प्याकेटहरू सोख्न वा फिल्टर गर्न बारे हो: **SYN cookies** (ताकि सर्भरले ह्यान्डशेक पूरा नहुन्जेल कुनै अवस्था राख्दैन), **anycast + scrubbing centers** विश्वव्यापी क्षमता भरि बाढी फैलाउन र सफा गर्न, र **upstream/ISP filtering** जालो वा आवश्यकता नगरिएको प्याकेटहरू तपाइँसम्म पुग्नु अगि फेलना गर्न। प्याकेटहरू आफैले स्पष्ट रूपमा गलत वा अनुरोध नगरिएको छन्, त्यसैले फिल्टरिङ् मेकानिकल छ।

## Layer 7 — अनुप्रयोग आक्रमण

यी **अनुप्रयोग लेयर (HTTP)** लक्ष्य गर्छन् अनुरोधहरूसँग जो पूर्णतया वैध देखिन्छन्।

- **HTTP flood** — वास्तविक endpoint (`GET /search?q=...`, `POST /login`) को बाढी गर्छ ताकि प्रत्येक अनुरोधले डेटाबेस क्वेरी, रेन्डर, वा auth जाँच बाध्य गर्छ।

खतरा **asymmetry** हो: एक साना अनुरोधले तपाइँलाई भारी क्वेरी लागत हो सक्छ, त्यसैले अनेक कम ब्यान्डविथले तपाइँलाई डाउन गर्छ। र किनभने प्रत्येक अनुरोध राम्रोसँग गठन गरिएको छ, प्याकेट फिल्टरिङ् वास्तविक प्रयोगकर्तासँग भिन्नता गर्न सक्दैन।

**शमन** फिल्टरिङ् भन्दा अधिक चतुर हुनुपर्छ: दुर्भावनापूर्ण ढाँचा मेल गर्न एक **WAF**, IP/user/token प्रति **rate limiting**, र **behavioral analysis** (चुनौती पृष्ठहरू, JS/CAPTCHA, fingerprinting) बटहरू मानिसहरूबाट अलग गर्न।

## किन पत्ता लगाउने फरक छ

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## किन यो महत्त्वपूर्ण छ

तपाइँ दुबै एक उपकरणसँग रक्षा गर्न सक्दैनन्। एक scrubbing center जो 1 Tbps UDP बाढी दबाउँछ 50,000-request-per-second HTTP बाढी लहराउँछ, किनभने प्रत्येक अनुरोध वैध देखिन्छ। वरिष्ठ इन्जिनियरहरू पहिले लेयर पहिचान गर्छन्, त्यसपछी मेल खाने नियन्त्रण सम्म पुग्छन् — भोल्यूमेट्रिक आक्रमणहरूको लागि प्याकेट-स्तरको scrubbing र anycast, अनुप्रयोग बाढी को लागि request-level WAF, rate limiting, र behavioral चुनौतिहरू।