Wat is het verschil tussen Layer 7 en Layer 3/4 DDoS-aanvallen, en waarom verschillen mitigaties?

Question

Accepted Answer

Het verschil komt neer op **welk deel van de stack de aanval misbruikt**, en dat bepaalt hoe je het detecteert en stopt. Layer 3/4-aanvallen gaan over **ruw volume**; Layer 7-aanvallen gaan over **dure, realistisch ogende requests**.

## Layer 3/4 — volumetrisch / netwerkaanvallen

Deze richten zich op de **netwerk- en transportlagen** en proberen bandbreedte te verzadigen of verbindingsstatus uit te putten, niet je applicatielogica.

- **SYN flood** — opent TCP-handshakes maar voltooit ze nooit, vult de verbindingstabel tot legitieme clients niet kunnen verbinden.
- **UDP flood** — schiet UDP-pakketten op willekeurige poorten, forceer de host om te verwerken en te antwoorden.
- **Amplification / reflection** (DNS, NTP, memcached) — vervalst het IP-adres van het slachtoffer zodat kleine vragen enorme antwoorden uitlokken gericht op het slachtoffer, waardoor de bandbreedte van de aanvaller 50-500x wordt vermenigvuldigd.

**Mitigatie** gaat over het absorberen of filteren van pakketten: **SYN cookies** (zodat de server geen status houdt totdat de handshake is voltooid), **anycast + scrubbing centers** om de flood over wereldwijde capaciteit te verspreiden en schoon te maken, en **upstream/ISP filtering** om vervalste of nutteloze pakketten voor ze bij je aankomen weg te gooien. De pakketten zelf zijn duidelijk misvormd of ongewenst, dus filteren is mechanisch.

## Layer 7 — applicatieaanvallen

Deze richten zich op de **applicatielaag (HTTP)** met requests die volledig legitiem lijken.

- **HTTP flood** — overspoelt echte endpoints (`GET /search?q=...`, `POST /login`) zodat elke request een databasequery, render of auth check forceert.

Het gevaar is **asymmetrie**: een klein request kan je veel kosten in een zware query, dus veel minder bandbreedte knock je uit. En omdat elke request goed gevormd is, kan pakketten filteren het niet onderscheiden van een echte gebruiker.

**Mitigatie** moet slimmer zijn dan filteren: een **WAF** om schadelijke patronen te matchen, **rate limiting** per IP/user/token, en **gedragsanalyse** (challenge-pagina's, JS/CAPTCHA, fingerprinting) om bots van mensen te scheiden.

## Waarom het belangrijk is

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Waarom het belangrijk is

Je kunt niet beide met één tool verdedigen. Een scrubbing center die een UDP-flood van 1 Tbps vernietigt, laat een HTTP-flood van 50.000 requests per seconde door, omdat elke request geldig lijkt. Senior engineers identificeren eerst de laag, en grepen dan naar de overeenkomende controle — pakketniveau scrubbing en anycast voor volumetrische aanvallen, verzoeksniveau WAF, rate limiting en gedragsuitdagingen voor applicatiefloden.