Forskjellen kommer ned på hvilken del av stacken angrepet utnytter, og det avgjør hvordan du oppdager og stopper det. Layer 3/4-angrep handler om rå volum; Layer 7-angrep handler om dyre, realistiske utseende forespørsler.
Forskjellen kommer ned på hvilken del av stacken angrepet utnytter, og det avgjør hvordan du oppdager og stopper det. Layer 3/4-angrep handler om rå volum; Layer 7-angrep handler om dyre, realistiske utseende forespørsler.
Disse rammer nettverks- og transportlagene og prøver å mettet båndbredde eller tømme tilkoblingstilstand, ikke applikasjonslogikken din.
Avbøting handler om å absorbere eller filtrere pakker: SYN cookies (slik at serveren holder ingen tilstand før handshaken er fullført), anycast + scrubbing-sentre for å spre og rense flommen over global kapasitet, og oppstrøms/ISP-filtrering for å slippe forfalsket eller ubrukelig pakker før de når deg. Pakkene selv er åpenbart malformert eller uoppfordret, så filtrering er mekanisk.
Disse rammer applikasjonslaget (HTTP) med forespørsler som ser helt legitime ut.
GET /search?q=..., POST /login) slik at hver forespørsel tvinger en databasespørring, render eller autentiseringskontroll.Faren er asymmetri: en tiny forespørsel kan koste deg en tungt spørring, så langt mindre båndbredde tar deg ned. Og fordi hver forespørsel er velformet, kan pakkefiltrering ikke skille den fra en ekte bruker.
Avbøting må være smartere enn filtrering: en WAF for å matche ondsinnet mønster, rate limiting per IP/bruker/token, og atferdsanalyse (utfordringssider, JS/CAPTCHA, fingerprinting) for å skille botter fra mennesker.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Du kan ikke forsvare både med ett verktøy. Et scrubbing-senter som knuser en 1 Tbps UDP-flom vil vinke gjennom en 50 000 forespørsler-per-sekund HTTP-flom, fordi hver forespørsel ser gyldig ut. Senioringeniører identifiserer laget først, deretter griper de til den matchende kontrollen — pakkenivals scrubbing og anycast for volumetriske angrep, forespørselsnivå WAF, rate limiting og atferdsmessige utfordringer for applikasjonsflommer.