Jaka jest różnica między atakami DDoS warstwy 7 a warstwą 3/4 i dlaczego mitigacje się różnią?

Question

Accepted Answer

Różnica sprowadza się do **której części stosu atakuje**, a to określa, jak wykrywasz i zatrzymujesz atak. Ataki warstwy 3/4 dotyczą **czystej objętości**; ataki warstwy 7 dotyczą **drogich, realistycznie wyglądających żądań**.

## Warstwa 3/4 — ataki objętościowe / sieciowe

Atakują **warstwy sieciową i transportu** i próbują nasycić przepustowość lub wyczerpać stan połączenia, a nie logikę aplikacji.

- **SYN flood** — otwiera uzgodnienia TCP, ale nigdy ich nie kończy, wypełniając tabelę połączeń, aż do momentu gdy legalni klienci nie mogą się połączyć.
- **UDP flood** — wysyła pakiety UDP na losowe porty, zmuszając hosta do przetworzenia i odpowiedzi.
- **Amplification / reflection** (DNS, NTP, memcached) — podrabia IP ofiary, aby małe zapytania wyzwoliły ogromne odpowiedzi skierowane do ofiary, mnożąc przepustowość atakującego 50-500x.

**Mitygacja** polega na absorpcji lub filtrowaniu pakietów: **SYN cookies** (aby serwer nie przechowywał stanu do czasu ukończenia uzgodnienia), **anycast + scrubbing centers** do rozprowadzenia i czyszczenia powodzi na globalną pojemność oraz **filtrowanie upstream/ISP** do odrzucania sfałszowanych lub niepotrzebnych pakietów zanim do Ciebie dotrą. Pakiety same w sobie są wyraźnie zniekształcone lub niezapraszane, więc filtrowanie jest mechaniczne.

## Warstwa 7 — ataki aplikacyjne

Atakują **warstwę aplikacji (HTTP)** żądaniami, które wyglądają całkowicie legalne.

- **HTTP flood** — zalewa rzeczywiste endpointy (`GET /search?q=...`, `POST /login`), aby każde żądanie wymusiło zapytanie do bazy danych, renderowanie lub sprawdzenie uwierzytelnienia.

Niebezpieczeństwo to **asymetria**: małe żądanie może Ciebie kosztować intensywne zapytanie, zatem znacznie mniejsza przepustowość Cię obali. A ponieważ każde żądanie jest dobrze sformułowane, filtrowanie pakietów nie potrafi odróżnić go od prawdziwego użytkownika.

**Mitygacja** musi być mądrzejsza niż filtrowanie: **WAF** do dopasowania złośliwych wzorów, **rate limiting** na IP/użytkownika/token oraz **behavioral analysis** (strony wyzwania, JS/CAPTCHA, fingerprinting) do rozróżnienia botów od ludzi.

## Dlaczego detektowanie się różni

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Dlaczego to ważne

Nie możesz bronić się przed obiema rzeczami jednym narzędziem. Scrubbing center, który zniszczy powódź UDP 1 Tbps, przepuści powódź HTTP 50 000 żądań na sekundę, ponieważ każde żądanie wygląda ważnie. Doświadczeni inżynierowie najpierw identyfikują warstwę, a następnie sięgają po odpowiednią kontrolę — scrubbing na poziomie pakietu i anycast dla ataków objętościowych, WAF, rate limiting i wyzwania behawioralne na poziomie żądania dla powodzi aplikacyjnych.