Qual é a diferença entre ataques DDoS Layer 7 e Layer 3/4, e por que as mitigações diferem?

Question

Accepted Answer

A diferença se resume a **qual parte da pilha o ataque explora**, e isso determina como você detecta e o interrompe. Ataques Layer 3/4 são sobre **volume bruto**; ataques Layer 7 são sobre **requisições caras e com aparência realista**.

## Layer 3/4 — ataques volumétricos / de rede

Estes visam as **camadas de rede e transporte** e tentam saturar a largura de banda ou esgotar o estado de conexão, não a lógica da sua aplicação.

- **SYN flood** — abre handshakes TCP mas nunca os completa, preenchendo a tabela de conexão até que clientes legítimos não consigam se conectar.
- **UDP flood** — dispara pacotes UDP em portas aleatórias, forçando o host a processar e responder.
- **Amplificação / reflexão** (DNS, NTP, memcached) — falsifica o IP da vítima para que pequenas consultas disparem respostas enormes direcionadas à vítima, multiplicando a largura de banda do atacante 50-500x.

**Mitigação** é sobre absorver ou filtrar pacotes: **SYN cookies** (para que o servidor não mantenha estado até que o handshake seja concluído), **anycast + centros de limpeza** para espalhar e limpar a inundação em capacidade global, e **filtragem upstream/ISP** para descartar pacotes falsificados ou inúteis antes de chegarem a você. Os próprios pacotes são obviamente malformados ou não solicitados, então a filtragem é mecânica.

## Layer 7 — ataques de aplicação

Estes visam a **camada de aplicação (HTTP)** com requisições que parecem completamente legítimas.

- **HTTP flood** — inunda endpoints reais (`GET /search?q=...`, `POST /login`) para que cada requisição force uma consulta de banco de dados, renderização ou verificação de autenticação.

O perigo é a **assimetria**: uma requisição minúscula pode custar uma consulta pesada, então muito menos largura de banda pode derrubá-lo. E porque cada requisição é bem formada, a filtragem de pacotes não consegue diferenciá-la de um usuário real.

**Mitigação** deve ser mais inteligente que filtragem: um **WAF** para corresponder padrões maliciosos, **rate limiting** por IP/usuário/token, e **análise comportamental** (páginas de desafio, JS/CAPTCHA, fingerprinting) para separar bots de humanos.

## Por que a detecção difere

```text
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7   : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
```

## Por que isso importa

Você não pode se defender de ambos com uma ferramenta. Um centro de limpeza que esmaga uma inundação UDP de 1 Tbps permitirá passar uma inundação HTTP de 50.000 requisições por segundo, porque cada requisição parece válida. Engenheiros sênior identificam a camada primeiro e então usam o controle correspondente — limpeza em nível de pacote e anycast para ataques volumétricos, WAF em nível de requisição, rate limiting e desafios comportamentais para inundações de aplicação.