Diferența se rezumă la care parte a stack-ului este abuzată de atac, și asta determină cum detectezi și oprești atacul. Atacurile Layer 3/4 sunt despre volum brut; atacurile Layer 7 sunt despre cereri costisitoare și care arată realist.
Diferența se rezumă la care parte a stack-ului este abuzată de atac, și asta determină cum detectezi și oprești atacul. Atacurile Layer 3/4 sunt despre volum brut; atacurile Layer 7 sunt despre cereri costisitoare și care arată realist.
Aceste atacuri vizează straturile de rețea și transport și încearcă să satureze lățimea de bandă sau epuizeze starea conexiunilor, nu logica aplicației tale.
Atenuarea este despre absorbția sau filtrarea pachetelor: SYN cookies (pentru ca serverul să nu păstreze stare până când handshake-ul se completează), anycast + centre de curățare pentru a răspândi și curăța inundația pe capacitate globală, și filtrare upstream/ISP pentru a arunca pachete falsificate sau inutile înainte să te atingă. Pachetele în sine sunt evident malformate sau nesolicitate, deci filtrarea este mecanică.
Aceste atacuri vizează stratul de aplicație (HTTP) cu cereri care arată complet legitime.
GET /search?q=..., POST /login) pentru ca fiecare cerere să forțeze o interogare de bază de date, randare sau verificare de autentificare.Pericolul este asimetria: o cerere mică te poate costa o interogare grea, deci mult mai puțină lățime de bandă te poate duce jos. Și deoarece fiecare cerere este bine formată, filtrarea pachetelor nu poate să o distingă de un utilizator real.
Atenuarea trebuie să fie mai inteligentă decât filtrarea: un WAF pentru a se potrivi cu modele rău intenționate, rate limiting per IP/utilizator/token, și analiză comportamentală (pagini de provocare, JS/CAPTCHA, fingerprinting) pentru a separa boții de oameni.
Layer 3/4 : detect by VOLUME + protocol anomalies -> filter/absorb packets (cheap to spot)
Layer 7 : detect by BEHAVIOR (looks like real traffic) -> needs request-level intelligence
Nu poți apăra ambele cu un singur instrument. Un centru de curățare care zdrobește o inundație UDP de 1 Tbps va lăsa să treacă o inundație HTTP de 50.000 de cereri pe secundă, pentru că fiecare cerere arată valabil. Inginerii senior identifică mai întâi stratul, apoi apelează la controlul corespunzător — curățare la nivel de pachet și anycast pentru atacuri volumetrice, WAF la nivel de cerere, rate limiting și provocări comportamentale pentru inundații de aplicație.
O bibliotecă de întrebări de interviu IT cu răspunsuri detaliate — de la Junior la Senior.
Donează