A diferença se resume a qual parte da pilha o ataque explora, e isso determina como você detecta e o interrompe. Ataques Layer 3/4 são sobre volume bruto; ataques Layer 7 são sobre requisições caras e com aparência realista.
A diferença se resume a qual parte da pilha o ataque explora, e isso determina como você detecta e o interrompe. Ataques Layer 3/4 são sobre volume bruto; ataques Layer 7 são sobre requisições caras e com aparência realista.
Estes visam as camadas de rede e transporte e tentam saturar a largura de banda ou esgotar o estado de conexão, não a lógica da sua aplicação.
Mitigação é sobre absorver ou filtrar pacotes: SYN cookies (para que o servidor não mantenha estado até que o handshake seja concluído), anycast + centros de limpeza para espalhar e limpar a inundação em capacidade global, e filtragem upstream/ISP para descartar pacotes falsificados ou inúteis antes de chegarem a você. Os próprios pacotes são obviamente malformados ou não solicitados, então a filtragem é mecânica.
Estes visam a camada de aplicação (HTTP) com requisições que parecem completamente legítimas.
GET /search?q=..., POST /login) para que cada requisição force uma consulta de banco de dados, renderização ou verificação de autenticação.O perigo é a assimetria: uma requisição minúscula pode custar uma consulta pesada, então muito menos largura de banda pode derrubá-lo. E porque cada requisição é bem formada, a filtragem de pacotes não consegue diferenciá-la de um usuário real.
Mitigação deve ser mais inteligente que filtragem: um WAF para corresponder padrões maliciosos, rate limiting por IP/usuário/token, e análise comportamental (páginas de desafio, JS/CAPTCHA, fingerprinting) para separar bots de humanos.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Você não pode se defender de ambos com uma ferramenta. Um centro de limpeza que esmaga uma inundação UDP de 1 Tbps permitirá passar uma inundação HTTP de 50.000 requisições por segundo, porque cada requisição parece válida. Engenheiros sênior identificam a camada primeiro e então usam o controle correspondente — limpeza em nível de pacote e anycast para ataques volumétricos, WAF em nível de requisição, rate limiting e desafios comportamentais para inundações de aplicação.