भिन्नता स्ट्याकको कुन भागको आक्रमणले दुरुपयोग गर्छ मा आसन्न छ, र यसले तपाइँलाई कसरी पत्ता लगाउने र रोक्ने हो भन्ने कुरा तय गर्छ। Layer 3/4 आक्रमणहरू कच्चा भोल्युम को बारेमा छन्; Layer 7 आक्रमणहरू महँगो, वास्तविक-दिखने वाले अनुरोधहरू को बारेमा छन्।
भिन्नता स्ट्याकको कुन भागको आक्रमणले दुरुपयोग गर्छ मा आसन्न छ, र यसले तपाइँलाई कसरी पत्ता लगाउने र रोक्ने हो भन्ने कुरा तय गर्छ। Layer 3/4 आक्रमणहरू कच्चा भोल्युम को बारेमा छन्; Layer 7 आक्रमणहरू महँगो, वास्तविक-दिखने वाले अनुरोधहरू को बारेमा छन्।
यी नेटवर्क र ट्रान्सपोर्ट लेयर लक्ष्य गर्छन् र ब्यान्डविथ संतृप्त गर्न वा जडान अवस्था समाप्त गर्न प्रयास गर्छन्, तपाइँको अनुप्रयोग तर्कनीति होइन।
शमन प्याकेटहरू सोख्न वा फिल्टर गर्न बारे हो: SYN cookies (ताकि सर्भरले ह्यान्डशेक पूरा नहुन्जेल कुनै अवस्था राख्दैन), anycast + scrubbing centers विश्वव्यापी क्षमता भरि बाढी फैलाउन र सफा गर्न, र upstream/ISP filtering जालो वा आवश्यकता नगरिएको प्याकेटहरू तपाइँसम्म पुग्नु अगि फेलना गर्न। प्याकेटहरू आफैले स्पष्ट रूपमा गलत वा अनुरोध नगरिएको छन्, त्यसैले फिल्टरिङ् मेकानिकल छ।
यी अनुप्रयोग लेयर (HTTP) लक्ष्य गर्छन् अनुरोधहरूसँग जो पूर्णतया वैध देखिन्छन्।
GET /search?q=..., POST /login) को बाढी गर्छ ताकि प्रत्येक अनुरोधले डेटाबेस क्वेरी, रेन्डर, वा auth जाँच बाध्य गर्छ।खतरा asymmetry हो: एक साना अनुरोधले तपाइँलाई भारी क्वेरी लागत हो सक्छ, त्यसैले अनेक कम ब्यान्डविथले तपाइँलाई डाउन गर्छ। र किनभने प्रत्येक अनुरोध राम्रोसँग गठन गरिएको छ, प्याकेट फिल्टरिङ् वास्तविक प्रयोगकर्तासँग भिन्नता गर्न सक्दैन।
शमन फिल्टरिङ् भन्दा अधिक चतुर हुनुपर्छ: दुर्भावनापूर्ण ढाँचा मेल गर्न एक WAF, IP/user/token प्रति rate limiting, र behavioral analysis (चुनौती पृष्ठहरू, JS/CAPTCHA, fingerprinting) बटहरू मानिसहरूबाट अलग गर्न।
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
तपाइँ दुबै एक उपकरणसँग रक्षा गर्न सक्दैनन्। एक scrubbing center जो 1 Tbps UDP बाढी दबाउँछ 50,000-request-per-second HTTP बाढी लहराउँछ, किनभने प्रत्येक अनुरोध वैध देखिन्छ। वरिष्ठ इन्जिनियरहरू पहिले लेयर पहिचान गर्छन्, त्यसपछी मेल खाने नियन्त्रण सम्म पुग्छन् — भोल्यूमेट्रिक आक्रमणहरूको लागि प्याकेट-स्तरको scrubbing र anycast, अनुप्रयोग बाढी को लागि request-level WAF, rate limiting, र behavioral चुनौतिहरू।