Różnica sprowadza się do której części stosu atakuje, a to określa, jak wykrywasz i zatrzymujesz atak. Ataki warstwy 3/4 dotyczą czystej objętości; ataki warstwy 7 dotyczą drogich, realistycznie wyglądających żądań.
Różnica sprowadza się do której części stosu atakuje, a to określa, jak wykrywasz i zatrzymujesz atak. Ataki warstwy 3/4 dotyczą czystej objętości; ataki warstwy 7 dotyczą drogich, realistycznie wyglądających żądań.
Atakują warstwy sieciową i transportu i próbują nasycić przepustowość lub wyczerpać stan połączenia, a nie logikę aplikacji.
Mitygacja polega na absorpcji lub filtrowaniu pakietów: SYN cookies (aby serwer nie przechowywał stanu do czasu ukończenia uzgodnienia), anycast + scrubbing centers do rozprowadzenia i czyszczenia powodzi na globalną pojemność oraz filtrowanie upstream/ISP do odrzucania sfałszowanych lub niepotrzebnych pakietów zanim do Ciebie dotrą. Pakiety same w sobie są wyraźnie zniekształcone lub niezapraszane, więc filtrowanie jest mechaniczne.
Atakują warstwę aplikacji (HTTP) żądaniami, które wyglądają całkowicie legalne.
GET /search?q=..., POST /login), aby każde żądanie wymusiło zapytanie do bazy danych, renderowanie lub sprawdzenie uwierzytelnienia.Niebezpieczeństwo to asymetria: małe żądanie może Ciebie kosztować intensywne zapytanie, zatem znacznie mniejsza przepustowość Cię obali. A ponieważ każde żądanie jest dobrze sformułowane, filtrowanie pakietów nie potrafi odróżnić go od prawdziwego użytkownika.
Mitygacja musi być mądrzejsza niż filtrowanie: WAF do dopasowania złośliwych wzorów, rate limiting na IP/użytkownika/token oraz behavioral analysis (strony wyzwania, JS/CAPTCHA, fingerprinting) do rozróżnienia botów od ludzi.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Nie możesz bronić się przed obiema rzeczami jednym narzędziem. Scrubbing center, który zniszczy powódź UDP 1 Tbps, przepuści powódź HTTP 50 000 żądań na sekundę, ponieważ każde żądanie wygląda ważnie. Doświadczeni inżynierowie najpierw identyfikują warstwę, a następnie sięgają po odpowiednią kontrolę — scrubbing na poziomie pakietu i anycast dla ataków objętościowych, WAF, rate limiting i wyzwania behawioralne na poziomie żądania dla powodzi aplikacyjnych.