Hva er forskjellen mellom Layer 7 og Layer 3/4 DDoS-angrep, og hvorfor er avbøtingstiltak forskjellige?

Question

Accepted Answer

Forskjellen kommer ned på **hvilken del av stacken angrepet utnytter**, og det avgjør hvordan du oppdager og stopper det. Layer 3/4-angrep handler om **rå volum**; Layer 7-angrep handler om **dyre, realistiske utseende forespørsler**.

## Layer 3/4 — volumetriske / nettverksangrep

Disse rammer **nettverks- og transportlagene** og prøver å mettet båndbredde eller tømme tilkoblingstilstand, ikke applikasjonslogikken din.

- **SYN flood** — åpner TCP-handshaker men fullfører dem aldri, fyller tilkoblingstabellen til legitime klienter ikke kan koble til.
- **UDP flood** — blåser UDP-pakker til tilfeldige porter, som tvinger verten til å behandle og svare.
- **Forsterkelse / refleksjon** (DNS, NTP, memcached) — forfalsker offerets IP slik at små spørringer utløser enorme svar rettet mot offeret, og multipliserer angriperens båndbredde 50-500x.

**Avbøting** handler om å absorbere eller filtrere pakker: **SYN cookies** (slik at serveren holder ingen tilstand før handshaken er fullført), **anycast + scrubbing-sentre** for å spre og rense flommen over global kapasitet, og **oppstrøms/ISP-filtrering** for å slippe forfalsket eller ubrukelig pakker før de når deg. Pakkene selv er åpenbart malformert eller uoppfordret, så filtrering er mekanisk.

## Layer 7 — applikasjonsangrep

Disse rammer **applikasjonslaget (HTTP)** med forespørsler som ser helt legitime ut.

- **HTTP flood** — oversvømmer reelle endepunkter (`GET /search?q=...`, `POST /login`) slik at hver forespørsel tvinger en databasespørring, render eller autentiseringskontroll.

Faren er **asymmetri**: en tiny forespørsel kan koste deg en tungt spørring, så langt mindre båndbredde tar deg ned. Og fordi hver forespørsel er velformet, kan pakkefiltrering ikke skille den fra en ekte bruker.

**Avbøting** må være smartere enn filtrering: en **WAF** for å matche ondsinnet mønster, **rate limiting** per IP/bruker/token, og **atferdsanalyse** (utfordringssider, JS/CAPTCHA, fingerprinting) for å skille botter fra mennesker.

## Hvorfor deteksjon er forskjellig

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Hvorfor det er viktig

Du kan ikke forsvare både med ett verktøy. Et scrubbing-senter som knuser en 1 Tbps UDP-flom vil vinke gjennom en 50 000 forespørsler-per-sekund HTTP-flom, fordi hver forespørsel ser gyldig ut. Senioringeniører identifiserer laget først, deretter griper de til den matchende kontrollen — pakkenivals scrubbing og anycast for volumetriske angrep, forespørselsnivå WAF, rate limiting og atferdsmessige utfordringer for applikasjonsflommer.