Layer 7 ਅਤੇ Layer 3/4 DDoS ਹਮਲਿਆਂ ਵਿਚ ਕੀ ਅੰਤਰ ਹੈ, ਅਤੇ mitigations ਵੱਖਰੀ ਕਿਉਂ ਹਨ?

Question

Accepted Answer

ਅੰਤਰ ਇਸ ਗੱਲ ਤੱਕ ਹੈ ਕਿ **ਸਟੈਕ ਦਾ ਕਿਹੜਾ ਹਿੱਸਾ ਹਮਲਾ ਕਰਦਾ ਹੈ**, ਅਤੇ ਇਹ ਨਿਰਧਾਰਿਤ ਕਰਦਾ ਹੈ ਕਿ ਤੁਸੀਂ ਇਸਨੂੰ ਕਿਵੇਂ ਖੋਜ ਅਤੇ ਰੋਕ ਸਕਦੇ ਹੋ। Layer 3/4 ਹਮਲੇ **ਕੱਚੇ ਵਾਲੀਅਮ** ਬਾਰੇ ਹਨ; Layer 7 ਹਮਲੇ **ਮਹਿੰਗੀ, ਯਥਾਰਥਵਾਦੀ ਦਿਖਣ ਵਾਲੀਆਂ ਬੇਨਤੀਆਂ** ਬਾਰੇ ਹਨ।

## Layer 3/4 — volumetric / ਨੈੱਟਵਰਕ ਹਮਲੇ

ਇਹ **ਨੈੱਟਵਰਕ ਅਤੇ ਟ੍ਰਾਂਸਪੋਰਟ ਲੇਅਰਾਂ** ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ ਅਤੇ ਬੈਂਡਵਿਡਥ ਸੰਤ੍ਰਿਪਤ ਕਰਨ ਜਾਂ ਕੁਨੈਕਸ਼ਨ ਸਥਿਤੀ ਨੂੰ ਖਤਮ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ, ਤੁਹਾਡੀ ਐਪਲੀਕੇਸ਼ਨ ਲਾਜਿਕ ਨੂੰ ਨਹੀਂ।

- **SYN flood** — TCP ਹ্যান্ডਸ਼ੇਕ ਖੋਲ੍ਹਦਾ ਹੈ ਪਰ ਉਹਨਾਂ ਨੂੰ ਕਦੀ ਪੂਰਾ ਨਹੀਂ ਕਰਦਾ, ਕਨੈਕਸ਼ਨ ਟੇਬਲ ਭਰਦਾ ਹੈ ਜਦੋਂ ਤੱਕ ਆਕਸੀ ਕਲਾਇੰਟ ਕਨੈਕਟ ਨਹੀਂ ਕਰ ਸਕਦੇ।
- **UDP flood** — UDP ਪ੍ਰੋਟੋਕੋਲ ਨੂੰ ਰੈਂਡਮ ਪੋਰਟ ਤੇ ਬਲਵਾ ਕਰਦਾ ਹੈ, ਹੋਸਟ ਨੂੰ ਪ੍ਰਕਿਰਿਆ ਕਰਨ ਅਤੇ ਜਵਾਬ ਦੇਣ ਲਈ ਮਜਬੂਰ ਕਰਦਾ ਹੈ।
- **Amplification / reflection** (DNS, NTP, memcached) — ਸ਼ਿਕਾਰ ਦੇ IP ਨੂੰ ਜਾਲ ਸਾਜਦਾ ਹੈ ਤਾਂ ਜੋ ਛੋਟੀਆਂ ਬੇਨਤੀਆਂ ਵਿਸ਼ਾਲ ਜਵਾਬ ਪ੍ਰੇਰਿਤ ਕਰਦੀਆਂ ਹਨ ਜੋ ਸ਼ਿਕਾਰ ਵੱਲ ਰੁਖਿਆ ਹੁੰਦਾ ਹੈ, ਹਮਲਾ ਕਨੈਕਸ਼ਨ ਬੈਂਡਵਿਡਥ ਨੂੰ 50-500x ਵਧਾ ਦਿੰਦਾ ਹੈ।

**Mitigation** ਪੈਕੇਟ ਨੂੰ ਜਜ਼ਬ ਕਰਨ ਜਾਂ ਫਿਲਟਰ ਕਰਨ ਦੀ ਬਾਬਤ ਹੈ: **SYN cookies** (ਤਾਂ ਜੋ ਸਰਵਰ ਹ್যান্ডਸ਼ੇਕ ਮੁਕਮਲ ਨਾ ਹੋਣ ਤੱਕ ਕੋਈ ਸਥਿਤੀ ਨਹੀਂ ਰੱਖਦਾ), **anycast + scrubbing centers** ਵਿਸ਼ਵ ਮੂਲ ਸਮਰਥਾ ਤੱਕ ਪ੍ਰਵਾਹ ਨੂੰ ਫੈਲਾਉਣ ਅਤੇ ਸਾਫ਼ ਕਰਨ ਲਈ, ਅਤੇ **upstream/ISP filtering** ਜਾਲਸਾਜੀ ਜਾਂ ਕੂੜਾ ਪੈਕੇਟ ਦੋ ਤੁਹਾਡੇ ਤਕ ਪਹੁੰਚਣ ਤੋਂ ਪਹਿਲਾ ਹੀ ਡ੍ਰੌਪ ਕਰਨ ਲਈ। ਪੈਕੇਟ ਆਪ ਸਮਾਨ ਤੌਰ ਤੇ ਖਰਾਬ ਜਾਂ ਅਸੰਖਿਆ ਹਨ, ਤਾਂ ਫਿਲਟਰਿੰਗ ਮਕੈਨੀਕਲ ਹੈ।

## Layer 7 — ਐਪਲੀਕੇਸ਼ਨ ਹਮਲੇ

ਇਹ **ਐਪਲੀਕੇਸ਼ਨ ਲੇਅਰ (HTTP)** ਨੂੰ ਬੇਨਤੀਆਂ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ ਜੋ ਪੂਰੀ ਤਰ੍ਹਾਂ ਜਾਇਜ਼ ਦਿਖਾਈ ਦਿੰਦੀਆਂ ਹਨ।

- **HTTP flood** — ਅਸਲ endpoints ਨੂੰ ਬਲਵਾ ਕਰਦਾ ਹੈ (`GET /search?q=...`, `POST /login`) ਤਾਂ ਜੋ ਹਰੇਕ ਬੇਨਤੀ ਨੂੰ ਡਾਟਾਬੇਸ ਕਿਊਰੀ, ਰੈਂਡਰ, ਜਾਂ auth ਚੈਕ ਮਜਬੂਰ ਕਰਦਾ ਹੈ।

ਖਤਰਾ **asymmetry** ਹੈ: ਇੱਕ ਛੋਟੀ ਬੇਨਤੀ ਤੁਹਾਨੂੰ ਭਾਰੀ ਕੁਫ ਖਰਚ ਕਰ ਸਕਦੀ ਹੈ, ਇਸ ਲਈ ਬਹੁਤ ਘੱਟ ਬੈਂਡਵਿਡਥ ਤੁਹਾਨੂੰ ਡਾਊਨ ਲੈ ਸਕਦੀ ਹੈ। ਅਤੇ ਕਿਉਂਕਿ ਹਰੇਕ ਬੇਨਤੀ ਵੱਲ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬਿਆ ਹੋ ਗਈ ਹੈ, ਪੈਕੇਟ ਫਿਲਟਰਿੰਗ ਇਸਨੂੰ ਅਸਲ ਯੂਜ਼ਰ ਤੋਂ ਵੱਖ ਨਹੀਂ ਕਰ ਸਕਦੀ।

**Mitigation** ਸਿਰਫ ਫਿਲਟਰਿੰਗ ਤੋਂ ਚਾਲਾਕ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ: ਇੱਕ **WAF** ਦੁਸ਼ਮਣ ਪੈਟਰਨ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, **rate limiting** ਪ੍ਰਤੀ IP/ਯੂਜ਼ਰ/token, ਅਤੇ **behavioral analysis** (ਚ੍ਮੋਟੀ ਪੰਨੇ, JS/CAPTCHA, fingerprinting) ਬੋਟ ਤੋਂ ਮਨੁੱਖਾਂ ਨੂੰ ਵੱਖ ਕਰਨ ਲਈ।

## ਖੋਜ ਵਾਲੀ ਕਿਸੇ ਵਿੱਤ

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## ਇਹ ਮਾਇਨੇ ਕਿਉਂ ਰੱਖਦਾ ਹੈ

ਤੁਸੀਂ ਦੋਵਨਾਂ ਦੀ ਇੱਕ ਔਜ਼ਾਰ ਨਾਲ ਰੱਖਿਆ ਨਹੀਂ ਕਰ ਸਕਦੇ। ਇੱਕ scrubbing center ਜੋ 1 Tbps UDP flood ਨੂੰ ਕੁੱਚ ਦੇਦਾ ਹੈ ਇੱਕ 50,000-request-per-second HTTP flood ਨੂੰ ਜਾਣ ਦੇਵੇਗਾ, ਕਿਉਂਕਿ ਹਰੇਕ ਬੇਨਤੀ ਵੈਧ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ। ਸੀਨੀਅਰ ਇੰਜਨੀਅਰਾਂ ਪਹਿਲਾ ਪਤਾ ਲਾਉਂਦੇ ਹਨ, ਫਿਰ ਮੇਲ ਖਾਂਦਾ ਹੈ ਨਿਯੰਤ੍ਰਨ ਲਈ ਪਹੁੰਚਦੇ ਹਨ — volumetric ਹਮਲਿਆਂ ਲਈ packet-level scrubbing ਅਤੇ anycast, ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ floods ਲਈ request-level WAF, rate limiting, ਅਤੇ behavioral challenges।